- Bernard Jarno
- 2 juillet 2021
Les informations privées des utilisateurs d’un service VPN populaire « sans logs » ont été obtenus recemment suite à une violation de données.
Un pirate a réussi à voler l’intégralité du contenu du serveur du site web d’un fournisseur de VPN et il est actuellement en train d’essayer de revendre des milliers d’enregistrements d’utilisateurs sur un forum populaire de pirates.
Comme le rapporte le site PrivacySharks, le service VPN sans logs LimeVPN a été victime d’un hack et d’une perte de données utilisateurs qui met en danger plus de 69 000 clients de son service. Un pirate, connu sous le nom de « slashx », a récemment publié sur RaidForums un message annonçant qu’il avait obtenu la totalité de la base de données de LimeVPN et qu’il souhaitait la revendre pour 400 dollars en bitcoins.
PrivacySharks a alors contacté slashx pour en savoir plus sur la violation et ses chercheurs ont découvert que les données extraites du site Web du fournisseur de VPN comprennent des enregistrements de son système de facturation WHMCS ainsi que des détails de compte, notamment des noms d’utilisateur, des adresses e-mail et des mots de passe.
Le hacker a également déclaré à PrivacySharks qu’il était en possession des clés privées de chaque utilisateur de LimeVPN, ce qui signifie qu’il peut facilement décrypter le trafic de chaque utilisateur.
Le service LimeVPN victime d'une violation de ses données
Afin de gagner de nouveaux clients et de conserver leurs clients actuels, les fournisseurs de VPN se doivent de rassurer leurs utilisateurs que les données stockés resteront privées et sécurisées lorsqu’ils utilisent leurs services. Dans le cas présent, l’image de LimeVPN est remise en question, car l’entreprise a vu l’intégralité de sa base de données volée à la suite d’une faille de sécurité.
Dans le même temps, la politique d’absence de journalisation de LimeVPN sera probablement soumise à un examen plus approfondi et un audit externe, car si la société ne conserve pas de logs sur ses utilisateurs, pourquoi un pirate a-t-il pu les obtenir sur son site ? C’est la raison pour laquelle de nombreux fournisseurs de VPN de premier plan dans l’industrie ont recemment subit des audits indépendants pour soutenir les revendications de leurs politiques de non-enregistrement.
Comme PrivacySharks, nous avons essayé de contacter LimeVPN pour obtenir un retour et leur poser quelques questions sur la récente violation de données dont ils ont été victimes. Malheureusement nous n’avons pas réussi à entrer en contact avec quelqu’un de la société. De plus, depuis que PrivacySharks a publié son billet de blog sur le sujet, le site web de LimeVPN est tombé en panne et slashx vend maintenant la sauvegarde complète du site web de la société à un prix beaucoup plus élevé.
Bien que contacter LimeVPN ait pu être une option pour les clients de la société au début de la violation, PrivacySharks recommande maintenant aux utilisateurs de changer leurs mots de passe, de commander une nouvelle carte de crédit et d’envisager d’investir dans une protection contre le vol d’identité.
Plus d'actu sur les VPN
Le VPN Google One sur la série Pixel 8 n’encombrera pas vos notifications
iOS peut empêcher les VPN de fonctionner comme prévu et exposer vos données
