La base de datos filtrada ha sido descubierta por investigadores de WizCase, y contiene datos de en torno a un millón de usuarios de Quickfox, una VPN gratis cuyo principal uso es acceder a webs de China desde fuera de China. Entre los datos filtrados aparecen nombres, números de teléfono y mucha más información.
El servidor no estaba protegido
Los datos estaban accesibles en abierto para cualquier persona sin tener que ingresar ningún tipo de usuario o contraseña para acceder, además de que los datos no estaban cifrados. WizCase intentó contactar con Quickfox, pero el servicio de VPN ni siquiera se ha puesto en contacto de vuelta con ellos.
Según WizCase, el fallo radicaba en un servidor de ELK mal configurado. ELK son las siglas de Elasticsearch, Logstash y Kibana, tres herramientas de código abierto que se utilizan para acelerar las búsquedas en grandes bases de datos, como es el caso de los logueos al servicio de Quickfox. Las restricciones de acceso estaban bien configuradas con Kibana, pero no con el servidor de Elasticsearch. Por ello, cualquier persona con la dirección podía acceder a ella y extraer la información sensible.
En total hay 500 millones de registros que ocupan 100 GB. Entre los datos, además de nombres y números de teléfono, hay correos electrónicos y contraseñas. Las contraseñas están cifradas, pero con un hash MD5, el cual se puede crackear con facilidad con las herramientas de crackeo y la potencia de las tarjetas gráficas actuales.
Más de un millón de usuarios afectados
Además, entre los datos no sólo estaban las direcciones IP asignadas a los usuarios, sino que también se registraba su IP real, algo gravísimo para un servicio de VPN. También se recopilaba información de cualquier otro software que estuviera instalado en el dispositivo desde el que se accedía a la VPN. Por ejemplo, en el caso de un PC, se guardaba la ruta donde estaba instalado cada programa, fecha de instalación, y versión.
Este tipo de información se recopila normalmente, por ejemplo, para datos de diagnóstico en el caso de que haya alguna incompatibilidad. Con esos datos, Microsoft suele determinar si hay algún programa que cause problemas. Sin embargo, Quickfox no tiene ningún motivo para hacerlo más allá de espiar, ya que además en sus términos y condiciones de uso no se especificaba que recopilasen esta información.
Los datos que aparecen fueron recopilados entre junio y septiembre de 2021. Por ello, si has usado este servicio de VPN en ese periodo, tus datos ahora están en manos de hackers. La base de datos de información personal afecta a un millón de personas, mientras que la de la ubicación de software afecta a «sólo» 300.000.
Estos datos pueden usarse ahora para llevar a cabo ataques de phishing haciéndose pasar por la propia Quickfox, o de suplantación de identidad en otros servicios; sobre todo si reutilizabas la contraseña de otras webs.
