Эксперты издания Cybernews обнаружили открытую базу данных, содержащую 18,5 ГБ журналов подключений VPN-сервиса BeanVPN. База данных содержит более 25 млн. записей диагностической информации пользователей, в том числе:
«Информация может быть использована для деанонимизации пользователей BeanVPN и определения их приблизительного местоположения с помощью баз данных сервиса GeoIP. Идентификатор Play Service позволяет определить адрес электронной почты пользователя, который привязан к сервисам Google», — сказал исследователь безопасности Cybernews Арас Назаров.
Обнаруженная база данных ElasticSearch теперь закрыта. Исследователи сообщили об открытой базе данных разработчику BeanVPN IMSOFT, но компания не прокомментировала ситуацию. Похоже, что IMSOFT нарушила собственную политику конфиденциальности, в которой говорится, что они собирают «только минимальные данные, необходимые для работы VPN-сервиса мирового уровня», — заявили эксперты.
Компания заявляет, что стремится защищать информацию пользователей с помощью «лучших в своем классе средств физической, процедурной и технической безопасности» для защиты своих офисов и хранилищ информации. Однако, по общедоступной информации, единственный офис компании находится в многоквартирном доме в Бухаресте, Румыния.
Приложение BeanVPN поддерживается только Android-устройствами и загружено из Google Play Store более 50 000 раз. Кроме того, веб-сайт Beanvpn.com используется для продвижения другого приложения компании — прокси-серверов Telefly MTProto для Telegram.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.