Seberapa amankah nama pengguna dan kata sandi Anda dengan SaferVPN?


PEMBARUAN 10/15: SaferVPN telah menghubungi kami untuk menginformasikan bahwa mereka telah menghapus Google Analytics dari subdomain app.safervpn.com mereka dan bekerja untuk menghapus alamat email dari URL mereka sepenuhnya.

PEMBARUAN 10/16: SaferVPN merilis pernyataan tentang kebijakan kata sandi mereka - baca lebih lanjut di bawah ini.

PEMBARUAN 10/17: Setelah melakukan penyelidikan sendiri, kami senang dengan penjelasan yang diberikan oleh CEO SaferVPN Amit Bareket. Baca lebih lanjut di bawah ini.

Kita‘Kami tidak malu mengakui bahwa kami memiliki banyak langganan VPN di sini di VPNpro.com. Petunjuk itu selalu atas nama.

Nah, hari ini salah satu akun ini mengalami masalah. SaferVPN mengirimi kami email untuk mengatakan bahwa pengguna kami telah dikunci karena mereka telah mengubah kebijakan kata sandi mereka dan kebetulan kata sandi kami tidak‘t memenuhi persyaratan baru. Rupanya, alasan perubahan kebijakan ini adalah pelanggaran besar-besaran Facebook.

pelanggan safervpn

Pada awalnya, kami tidak melakukannya‘Aku tidak memikirkannya - hanya gangguan kecil, tidak ada yang perlu dikeluhkan. Tapi, tiba-tiba, realisasinya mengejutkan kami:

Bagaimana mereka tahu kata sandi kami tidak‘t memenuhi persyaratan mereka?

Setelah semua, kata sandi biasanya disimpan sebagai hash - string ciphertext dengan panjang tetap. Tidak ada cara untuk melihat hash dan mengetahui parameter kata sandi tanpa mendekripsi string. Mungkinkah SaferVPN menyimpan semua kata sandi pengguna dalam plaintext? Jika demikian, kita‘bukan penggemar latihan ini dan itu‘S dengan lembut.

UPDATE 10/16: SaferVPN merilis pernyataan tentang kebijakan kata sandi mereka

Kemarin, SaferVPN membuat posting blog yang menjelaskan perubahan kebijakan kata sandi dan konsekuensinya. Itu mengulangi apa yang dikatakan dalam email:

Beberapa akun pengguna memiliki kata sandi yang sudah memenuhi standar keamanan baru kami. Akun pengguna lain adalah dikunci sementara hingga pengguna memilih kata sandi baru yang lebih kuat.

Pernyataan ini menegaskan pemahaman kami tentang situasi dan meninggalkan pertanyaan yang sama - bagaimana mereka dapat menentukan akun mana yang memiliki kata sandi yang memadai dan mana yang tidak?

UPDATE 10/17: SaferVPN CEO menawarkan jawaban untuk pertanyaan kata sandi kami

Selama beberapa hari terakhir, kami telah melakukan kontak dengan CEO SaferVPN Amit Bareket, yang telah menawarkan kepada kami penjelasan berikut:

Kami memvalidasi kata sandi pengguna saat masuk, jadi jika tidak cocok dengan persyaratan kata sandi, maka kami meminta untuk memilih kata sandi yang lebih kuat (menggunakan input pengguna, yang kami JANGAN MENYIMPAN pada waktu tertentu).

Pada awalnya, kami skeptis dengan penjelasan ini, karena sepengetahuan kami akun yang dipertanyakan tidak digunakan untuk sementara waktu, jadi email sepertinya keluar tiba-tiba. Selain itu, bahasa dalam email dan pernyataan itu menyarankan, bahwa SaferVPN telah memeriksa kata sandi dan memblokir akun yang kekuatan kata sandinya tidak’t memenuhi persyaratan.

Namun, setelah menginvestigasi beberapa lagi menggunakan beberapa akun SaferVPN lainnya, kami dapat mengonfirmasi bahwa penjelasan yang diberikan oleh SaferVPN benar. Singkatnya, penyedia layanan VPN mempelajari kekuatan kata sandi akun Anda selama upaya login (atau 5 kali upaya login gagal). Inilah yang memicu email yang kami terima.

Kita harus berterima kasih kepada SaferVPN atas kerja sama dan kesabaran mereka dalam menyelesaikan masalah ini!

Nama pengguna SaferVPN Anda di Google Analytics?

Seperti yang dapat Anda lihat di tangkapan layar, URL untuk mengatur ulang kata sandi Anda termasuk nama pengguna SaferVPN kami (yang juga merupakan email Anda).

Nama pengguna SaferVPN di Google Analytics

Jika Anda mengikuti tautan ke halaman tersebut, Anda mungkin melihat - seperti yang kami lakukan - bahwa ia memiliki pelacak Google Analytics. Dengan kata lain, nama pengguna SaferVPN Anda langsung menuju ke Google Analytics.

Secara teknis, ini berarti bahwa siapa pun yang memiliki akses ke akun GA SaferVPN dapat mengekspor daftar alamat email yang digunakan untuk mendaftar ke layanan VPN, membuka kaleng serius cacing dalam proses tersebut. Siapa yang memiliki akses ke SaferVPN‘apakah akun GA? Apakah agen pemasaran online pihak ketiga memiliki akses ke sana? Dan bahkan jika mereka tidak‘t, direktur pemasaran mereka sendiri pasti melakukannya. Bahwa‘Sudah lebih dari nyaman bagi pengguna VPN.

Hal lain yang perlu diperhatikan:
Sesuai dengan Ketentuan Layanan Google Analytics, pengguna tidak diizinkan untuk memberikan informasi pribadi ke Google. SaferVPN tampaknya melanggar aturan ini.

7. Privasi.
Anda tidak akan dan tidak akan membantu atau mengizinkan pihak ketiga mana pun untuk, memberikan informasi kepada Google bahwa Google dapat menggunakan atau mengenali informasi yang dapat diidentifikasi secara pribadi.

UPDATE 10/15: SaferVPN mengonfirmasi masalah dengan URL mereka

Kami telah menerima konfirmasi dari SaferVPN bahwa mereka telah menghapus Google Analytics dari subdomain app.safervpn.com mereka. Selain itu, mereka bekerja untuk menghapus nama pengguna / alamat email dari semua URL mereka. Lebih banyak kekuatan untuk mereka!

Kesimpulan: seberapa buruk kita berbicara?

Setelah bolak-balik dengan SaferVPN yang berlangsung beberapa hari, kami telah mencapai kesimpulan sebagai berikut:

  1. Masalah kata sandi adalah masalah komunikasi, bukan masalah keamanan. Kekuatan kata sandi ditentukan pada saat input, bukan dengan melihat database plaintext.
  2. SaferVPN telah mengakui bahwa memasukkan nama pengguna (alamat email) dalam URL adalah praktik yang buruk. Mereka memperbaikinya saat kita bicara.

Kami berterima kasih kepada SaferVPN karena meluangkan waktu untuk membereskan dan meningkatkan layanan mereka!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

63 − = 61