Recentemente, il ricercatore di sicurezza Damien Bancal ha segnalato una presunta fuga di dati da parte del fornitore svedese di vpn, Mullvad vpn. Durante un’indagine, sono state scoperte decine di indirizzi web che portano all’api di Mullvad, offrendo accesso alle informazioni di connessione degli utenti, come indirizzi ip e date di connessione. Nonostante queste informazioni non siano personalmente identificabili, Bancal sostiene che un attore malintenzionato potrebbe causare grandi danni con queste informazioni limitate.
Jan Jonsson, ceo di Mullvad vpn, ha dichiarato di non essere sorpreso dall’esposizione pubblica degli account. Ha sottolineato che non si tratta di una fuga di dati. Mullvad dona centinaia di migliaia di account ogni anno per vari motivi, e questi account finiscono in tali forum/siti web. Jonsson ha anche spiegato che un numero di account è un numero decimale a 16 cifre, e la possibilità di indovinare un account è estremamente bassa, con ulteriori protezioni in atto per limitare i tentativi di indovinare.
Nonostante l’azienda insista che non si tratta di una fuga di dati, l’esposizione degli id vpn potrebbe avere gravi conseguenze, poiché potrebbe essere associata a informazioni private dell’utente come la fatturazione e potrebbe contenere altri dettagli personali. In caso di esposizione di un id vpn, l’utente dovrebbe cambiare la password, abilitare l’autenticazione multi-fattore e informare il proprio fornitore di vpn sul problema.