Cảnh báo 3 dịch vụ VPN phổ hiến hiện nay đang làm rò rỉ địa chỉ IP của bạn

Các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng bảo mật nghiêm trọng trong 3 dịch vụ VPN phổ biến hiện nay, có thể làm rò rỉ địa chỉ IP thực của người dùng cũng như các dữ liệu nhạy cảm khác.

VPN hay còn được gọi là Virtual Private Network là một cách tuyệt vời để bảo vệ các hoạt động trực tuyến hàng ngày của người dùng bằng cách mã hoá dữ liệu và tăng cường bảo mật cũng như là che giấu địa chỉ IP thực của người dùng.

Mặc dù dịch vụ VPN phục vụ cho việc ẩn danh trực tuyến và bảo mật dữ liệu của  người dùng, nhưng một trong những lý do chính khiến người dùng sử dụng VPN chính là để ẩn địa chỉ IP thật của họ để qua được các kiểm duyệt trực tuyến cũng như là truy cập các trang web bị chặn bởi các ISP của họ.

Nhưng nếu VPN mà bạn nghĩ đang bảo vệ sự riêng tư của bạn thì liệu chính nó có bị rò rỉ dự liệu và rò rỉ luôn cả địa chỉ thực sự của bạn hay không?

Một nhóm hacker hợp pháp được thuê bởi công ty tư vấn về quyền riêng tư VPN Mentor đã tiết lộ rằng ba nhà cung cấp dịch vụ VPN phổ biến là HotSpot Shield, PureVPN và Zenmate với hàng triệu khách hàng trên toàn thế giới đã bị phát hiện có lỗ hổng có thể ảnh hưởng đến quyền riêng tư của người dùng.

PureVPN là cùng một công ty đã nói dối rằng họ hoạt động trên chính sách “không log” (tức là không ghi lại nhật ký truy cập của người dùng, nhưng một vài tháng trước đã giúp FBI tìm ra và bắt giữ một người đàn ông Massachusetts trong một vụ theo dõi an ninh mạng bằng các bản ghi của công ty.

Sau một loạt các bài kiểm tra về vấn đề quyền riêng tư trên 3 dịch vụ VPN, nhóm nghiên cứu đã nhận thấy rằng cả 3 dịch vụ VPN đều đang rò rỉ dữ liệu IP thực của người dùng, có thể được sử dụng để xác định người dùng cá nhân và vị trí thực tế của họ.

Liên quan đến ảnh hưởng người dùng cuối, VPN Mentor giải thích rằng các lỗ hổng này có thể cho phép các chính phủ, các tổ chức thù địch hoặc cá nhân xác định địa chỉ IP thực của người dùng, ngay cả khi có dùng VPN đi nữa. Các vấn đề trong ZenMate và PureVPN đã không được tiết lộ vì họ vẫn chưa vá trong khi đó VPN Menter nói rằng các vấn đề phát hiện trong ZenMate VPN ít nghiêm trọng hơn HotSpot Shield và PureVPN.

Nhóm nghiên cứu đã phát hiện 3 lỗ hổng riêng trong HotSpot Shield của AnchorFree, đã được sửa bởi công ty ngay sau đó. Các lỗ hổng gồm rò rỉ DNS (CVE-2018-7878), chiếm toàn bộ lưu lượng truy cập (CVE-2018-7879) và rò rỉ địa chỉ IP thật (CVE-2018-7880).

Cả 3 lỗ hổng đều có trong Plugin miễn phí Chrome của HotSpot Shield, chứ không chỉ có trong các ứng dụng dành cho máy tính để bàn hoặc điện thoại thông minh.

Các chuyên gia nghiên cứu cũng báo cáo các lỗ hổng tương tự trong các plugin Chrome của Zenmate và PureVPN, nhưng hiện tại các chi tiết của các lỗi đang được giữ mật trước khi hai nhà sản xuất khắc phục chúng. Các chuyên gia tin rằng hầu hết các dịch vụ VPN khác đều có thể đang gặp những vấn đề tương tự.

Minh Hương