Cuando usamos un servidor vpn el fin es que nos cambie la ubicacion y nos oculte nuestra ip real, pero al parecer Hotspot vpn Shield no lo esta realizando.
La función del vpn es redirigir el tráfico de forma cifrada para que nuestra información viaje segura al lugar origen, en caso de los que realizamos pentesting siempre estamos pendiente qur nuestra ip no sea revelada. Pero como sabemos la seguridad es un mito siempre habran fallos dia a dia en este caso Hotspot Shield Vpn.
Hace algunas horas se daba a conocer un fallo de seguridad en el popular servidor VPN gratuito Hotspot Shield que podría desvelar información crítica sobre los usuarios de este servicio. Este fallo de seguridad, registrado como CVE-2018-6460, podría revelar la ubicación exacta de cualquier usuario que se conecte a Internet a través de este servicio.
El descubridor de este fallo de seguridad ha sido el investigador Paulos Yibelo, quien, antes de darlo a conocer, se puso en contacto con AnchorFree para reportarlo, pero no obtuvo respuesta de los responsables de Hotspot Shield, por lo que al final ha decidido hacerlo público. El fallo en cuestión reside en que Hotspot Shield ejecuta un servidor web estático en la IP 127.0.0.1 a través del puerto 895, servidor que utiliza JSONP e incluye información sensible sobre el usuario. Por ello, un atacante podría enviar una petición a este servidor web, quien sería capaz de devolverle esta información, incluyendo la IP real del usuario.
Este investigador de seguridad ha conseguido demostrar cómo ha sido posible revelar el país de origen de origen y el nombre de la red Wi-Fi utilizada de un usuario utilizando simplemente un pequeño código de prueba de concepto. Si se trabajara un poco más en este código podría ser posible revelar prácticamente cualquier tipo de información de cualquier usuario.
Está claro que Hotspot Shield debe pasar a la lista de servidores VPN que debemos evitar, junto a otros como Hola VPN o PureVPN.
Como ya hemos dicho en muchas ocasiones, es vital tener mucho cuidado a la hora de elegir un servidor VPN fiable. No todos los servidores son igual de seguridad, y muchos, sobre todo los gratuitos, suelen tener graves problemas de seguridad, recopilar todo tipo de datos de los usuarios, mostrar publicidad (algo que también hace Hotspot Shield con sus usuarios) o, como ha ocurrido con Hola VPN, revender el tráfico de los usuarios que confiaban en este VPN a través de otro servicio.