Seberapa selamat nama pengguna dan kata laluan anda dengan SaferVPN?

UPDATE 10/15: SaferVPN telah menghubungi kami untuk memaklumkan bahawa mereka telah mengalih keluar Google Analytics dari subdomain app.safervpn.com dan sedang berusaha untuk menghapuskan alamat e-mel sepenuhnya dari URL mereka.

UPDATE 10/16: SaferVPN mengeluarkan kenyataan tentang dasar kata laluan mereka - baca lebih lanjut di bawah.

UPDATE 10/17: Setelah menjalankan siasatan kami sendiri, kami gembira dengan penjelasan yang diberikan oleh CEO SaferVPN Amit Bareket. Baca lebih lanjut di bawah.

Kami‘tidak malu untuk mengakui bahawa kami mempunyai banyak langganan VPN di sini di VPNpro.com. Petunjuk itu selalu ada dalam nama itu.


Nah, hari ini salah satu daripada akaun ini menghadapi masalah. SaferVPN menghantar e-mel kepada kami untuk mengatakan bahawa pengguna kami telah dikunci kerana mereka telah mengubah dasar kata laluan mereka dan ia berlaku bahawa kata laluan kami tidak‘t memenuhi keperluan baru. Rupa-rupanya, sebab perubahan dasar ini adalah pelanggaran Facebook yang besar.

selamatkan pelanggan

Pada mulanya, kami tidak‘t berfikir apa-apa - hanya gangguan kecil, tidak ada yang merengek. Tetapi, tiba-tiba, kesedaran itu melanda kami:

Bagaimana mereka tahu kata laluan kami?‘t memenuhi keperluan mereka?

Lagipun, kata laluan biasanya disimpan sebagai hash - rentetan panjang tetap ciphertext. Tidak ada cara untuk melihat hash dan memberitahu parameter kata laluan tanpa mendekrikan rentetan. Bolehkah SaferVPN menyimpan semua kata laluan pengguna dalam plaintext? Jika ya, kita‘Bukan peminat amalan ini dan itu‘s meletakkannya dengan sedikit.

UPDATE 10/16: SaferVPN mengeluarkan kenyataan mengenai dasar kata laluan mereka

Semalam, SaferVPN membuat catatan blog menerangkan perubahan dasar kata laluan dan akibatnya. Ia mengulangi apa yang dikatakan dalam e-mel:

Sesetengah akaun pengguna mempunyai kata laluan yang telah memenuhi standard keselamatan baru kami. Akaun pengguna lain adalah sementara dikunci sehingga pengguna memilih kata laluan yang baru dan lebih kuat.

Kenyataan ini mengesahkan pemahaman kami tentang situasi dan meninggalkan soalan yang sama - bagaimana mereka dapat menentukan akaun mana yang mempunyai kata laluan yang mencukupi dan mana yang tidak?

UPDATE 10/17: Ketua Pegawai Eksekutif SaferVPN menawarkan jawapan kepada soalan kata laluan kami

Sepanjang dua hari yang lalu, kami telah berhubung dengan CEO SaferVPN Amit Bareket, yang telah memberikan penjelasan berikut:

Kami mengesahkan kata laluan pengguna semasa log masuk, jadi jika ia tidak sepadan dengan keperluan kata laluan maka kami meminta untuk memilih untuk kata laluan yang lebih kuat (menggunakan input pengguna, yang TIDAK DIJAMIN pada setiap masa tertentu).

Pada mulanya, kami ragu-ragu mengenai penjelasan ini, kerana pada pengetahuan kami, akaun yang dimaksudkan tidak digunakan untuk sementara waktu, jadi e-mel seolah-olah telah keluar dari biru. Di samping itu, bahasa dalam e-mel dan pernyataan yang dicadangkan, bahawa SaferVPN telah melihat melalui kata laluan dan menyekat akaun yang kekuatan kata laluannya’t memenuhi keperluan.

Bagaimanapun, setelah menyiasat beberapa lagi menggunakan beberapa akaun SaferVPN lain, kami dapat mengesahkan bahawa penjelasan yang diberikan oleh SaferVPN adalah betul. Ringkasnya, pembekal perkhidmatan VPN mengetahui kekuatan kata laluan akaun anda semasa percubaan log masuk (atau 5 percubaan log masuk tidak berjaya). Inilah yang mencetuskan e-mel yang kami terima.

Kita mesti berterima kasih kepada SaferVPN kerana kerjasama dan kesabaran mereka dalam menyelesaikan perkara ini!

Nama pengguna SaferVPN anda di Google Analitis?

Seperti yang anda dapat lihat dalam tangkapan skrin, URL untuk menetapkan semula kata laluan anda termasuk nama pengguna kami SaferVPN (yang juga menjadi e-mel anda).

Nama pengguna SaferVPN di Google Analytics

Jika anda mengikuti pautan ke halaman, anda mungkin dapat melihat - seperti yang kita lakukan - bahawa ia mempunyai pelacak Google Analytics di atasnya. Dengan kata lain, nama pengguna SaferVPN anda terus ke Google Analytics.

Secara teknikal, ini bermakna sesiapa sahaja yang mempunyai akses ke akaun GA SaferVPN boleh mengeksport senarai alamat e-mel yang digunakan untuk mendaftar untuk perkhidmatan VPN, membuka cacing serius dalam proses. Siapa yang mempunyai akses ke SaferVPN‘s GA account? Adakah agensi pemasaran dalam talian pihak ketiga mempunyai akses kepadanya? Dan walaupun mereka tidak‘t, pengarah pemasaran mereka pasti tidak. Itu‘s sudah lebih daripada pengguna VPN harus selesa dengan.

Satu lagi perkara yang perlu diperhatikan:
Mengikut Syarat Perkhidmatan Google Analitis, pengguna tidak dibenarkan untuk melepasi maklumat pengenal pasti peribadi kepada Google. SaferVPN nampaknya melanggar peraturan ini.

7. Privasi.
Anda tidak akan dan tidak akan membantu atau membenarkan mana-mana pihak ketiga untuk, menyampaikan maklumat kepada Google yang boleh digunakan atau diiktiraf oleh Google sebagai maklumat yang dapat mengenal pasti diri.

UPDATE 10/15: SaferVPN mengesahkan isu dengan URL mereka

Kami telah menerima pengesahan dari SaferVPN bahawa mereka telah mengeluarkan Google Analytics dari subdomain app.safervpn.com mereka. Di samping itu, mereka sedang berusaha untuk menghapuskan nama pengguna / alamat e-mel daripada semua URL mereka. Lebih banyak kuasa kepada mereka!

Kesimpulan: betapa buruknya kita bercakap?

Selepas bolak balik dengan SaferVPN yang berlangsung selama beberapa hari, kami telah mencapai kesimpulan berikut:

  1. Isu kata laluan adalah isu komunikasi, bukannya isu keselamatan. Kekuatan kata laluan ditentukan pada masa input, bukan dengan melihat pangkalan data plaintext.
  2. SaferVPN telah mengakui bahawa termasuk nama pengguna (alamat e-mel) dalam URL adalah amalan yang buruk. Mereka menetapkannya seperti yang kita katakan.

Kami mengucapkan terima kasih kepada SaferVPN kerana meluangkan masa untuk membersihkan dan meningkatkan perkhidmatan mereka!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

3 + 1 =

Adblock
detector