Hvor sikkert er brukernavnet og passordet ditt med SaferVPN?


OPPDATERING 10/15: SaferVPN har kontaktet oss for å informere om at de har fjernet Google Analytics fra underdomenet app.safervpn.com og jobber for å fjerne e-postadresser fullstendig fra URL-ene deres.

OPPDATERING 10/16: SaferVPN gir ut en uttalelse om passordpolitikken deres - les mer nedenfor.

OPPDATERING 10/17: Etter å ha gjennomført vår egen undersøkelse, er vi glade for forklaringen gitt av SaferVPN-administrerende direktør Amit Bareket. Les mer nedenfor.

Vi‘skammer meg ikke for å innrømme at vi har mange VPN-abonnementer her på VPNpro.com. Ledetråden var alltid i navnet, uansett.

Vel, i dag fikk en av disse kontoene et problem. SaferVPN sendte oss en e-post for å si at brukeren vår hadde blitt låst fordi de hadde endret passordpolicyen sin, og det skjedde slik at passordet vårt ikke‘t oppfyller de nye kravene. Tilsynelatende var årsaken til denne politiske endringen det enorme Facebook-bruddet.

safervpn-kunde

Til å begynne med gjorde vi det ikke‘t tenker noe på det - bare en mindre plage, ingenting å sutre over. Men plutselig slo erkjennelsen oss:

Hvordan vet de at passordet vårt ikke gjør det‘t oppfyller deres krav?

Når alt kommer til alt blir passord vanligvis oppbevart som hasjer - faste lengder strenger av chiffertekst. Det er ingen måte å se på en hasj og fortelle hva passordparametrene er uten å dekryptere strengen. Kan det hende at SaferVPN lagrer alle brukerpassord i ren tekst? I så fall, vi‘er ikke fans av denne praksisen og det‘s si det mildt.

OPPDATERING 10/16: SaferVPN slipper en uttalelse om passordpolicyen deres

I går la SaferVPN et blogginnlegg som forklarte passordendringen og konsekvensene av dem. Den gjentar det som ble sagt i e-posten:

Noen brukerkontoer har passord som allerede oppfyller de nye sikkerhetsstandardene våre. Andre brukerkontoer er midlertidig låst til brukerne velger et nytt, sterkere passord.

Denne uttalelsen bekrefter vår forståelse av situasjonen og etterlater det samme spørsmålet - hvordan var de i stand til å bestemme hvilke kontoer som har tilstrekkelige passord og hvilke som ikke har?

OPPDATERING 10/17: SaferVPN CEO tilbyr svar på spørsmål om passord

I løpet av de siste dagene har vi vært i kontakt med administrerende direktør i SaferVPN, Amit Bareket, som har tilbudt oss følgende forklaring:

Vi validerer brukerpassordet ved innlogging, så hvis det ikke samsvarer med passordkravene, ber vi om å velge et sterkere passord (ved bruk av brukerinndata, som vi IKKE OPPBEVARER til enhver tid).

Først var vi skeptiske til denne forklaringen, fordi vi vet at den aktuelle kontoen hadde vært ubrukt en stund, så e-postmeldingen så ut til å ha kommet ut av det blå. I tillegg antydet språket i e-postmeldingen og uttalelsen at SaferVPN har sett gjennom passordene og sperret kontoene hvis passordstyrke ikke gjorde’t oppfyller kravene.

Imidlertid kunne vi etter å ha undersøkt noen flere ved å bruke flere andre SaferVPN-kontoer bekrefte at forklaringen gitt av SaferVPN er riktig. Kort sagt, VPN-tjenesteleverandøren lærer kontoen din passordstyrke under et påloggingsforsøk (eller 5 mislykkede påloggingsforsøk). Det er dette som utløser e-postmeldingen vi mottok.

Vi må takke SaferVPN for deres samarbeid og tålmodighet i å løse denne saken!

SaferVPN-brukernavnet ditt på Google Analytics?

Som du kan se på skjermdumpen, inkluderer URLen for tilbakestilling av passordet vårt SaferVPN brukernavn (som også blir din e-post).

SaferVPN brukernavn på Google Analytics

Følger du lenken til siden, kan du se - som vi gjorde - at den har en Google Analytics-tracker på seg. Med andre ord går SaferVPN-brukernavnet ditt direkte til Google Analytics.

Teknisk betyr dette at alle som har tilgang til SaferVPN GA-kontoen, kan eksportere en liste over e-postadresser som ble brukt for å registrere seg for VPN-tjenesten, og åpne en alvorlig boks med ormer i prosessen. Hvem har tilgang til SaferVPN‘s GA-konto? Har tredjeparts markedsføringsbyråer tilgang til det? Og selv om de ikke gjør det‘t, gjør deres egen markedsdirektør sikkert. At‘s allerede mer enn VPN-brukere burde være komfortable med.

En annen ting å merke seg:
I henhold til vilkårene for Google Analytics har brukere ikke lov til å overføre personlig identifiserbar informasjon til Google. SaferVPN ser ut til å være i strid med denne regelen.

7. Personvern.
Du vil ikke og vil ikke hjelpe eller tillate noen tredjepart å overføre informasjon til Google som Google kan bruke eller gjenkjenne som personlig identifiserbar informasjon.

OPPDATERING 10/15: SaferVPN bekrefter problemer med nettadressene deres

Vi har mottatt bekreftelse fra SaferVPN om at de har fjernet Google Analytics fra app.safervpn.com underdomenet. I tillegg jobber de for å fjerne brukernavn / e-postadresser fra alle nettadressene deres. Mer kraft til dem!

Konklusjon: hvor ille snakker vi?

Etter frem og tilbake med SaferVPN som varte i flere dager, har vi kommet til følgende konklusjoner:

  1. Passordspørsmålet er et kommunikasjonsproblem, snarere enn et sikkerhetsproblem. Passordstyrke bestemmes på tidspunktet for inndata, i stedet for ved å se på en vanlig tekstdatabase.
  2. SaferVPN har erkjent at det er en dårlig praksis å inkludere brukernavn (e-postadresse) i nettadresser. De fikser det mens vi snakker.

Vi takker SaferVPN for at vi tok deg tid til å rydde opp og forbedre tjenestene deres!

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 1 = 1

map