Kullanıcılarının çevrimiçi etkinliklerinin kayıtlarını tutmadığını iddia eden sağlayıcılar, 1,2 terabaytlık özel kullanıcı verilerini açıkta bıraktı. Hizmetler tarafından paylaşılan bir sunucuda bulunan veriler, potansiyel olarak 20 milyon VPN kullanıcısının Kişisel Olarak Tanımlanabilir Bilgilerini (PII) içeriyordu. Veri sızdırdığı belirtilen VPN servislerinin ise şunlar olduğu belirtiliyor; UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN ve Rabbit VPN.
Araştırmacılar, VPN servislerinden biri olan UFO VPN’yi kullanarak bir dizi test yaptılar. Dünyanın dört bir yanındaki sunuculara bağlanmak için mobil uygulamayı indirip kullandıktan sonra sunucu faaliyetleri; bir e-posta adresi, IP, adres, cihaz ve bağlandıkları sunucuyu içeren kişisel ayrıntıların yer aldığı veritabanına kaydedildi. Veritabanı, kaynak IP adresleri, İnternet Servis Sağlayıcısı, gerçek konum, cihaz modeli, türü ve kimliği ile kullanıcının ağ bağlantısı gibi VPN’lerin yüklendiği cihazlar hakkında teknik veriler içeriyordu.
Sorumlu açıklama yönergelerine bağlı olarak araştırmacılar, güvenlik kaybını 5 Temmuz’da VPN sağlayıcılarına açıkladı ve 8 Temmuz’da Hong Kong Bilgisayar Acil Müdahale Ekibi ile temasa geçti. Sunucu 15 Temmuz’da kapatıldı.
Araştırmacılar bu yedi VPN sağlayıcısının herhangi birinin kullanıcıların başka bir hizmete geçmesini ve diğer çevrimiçi hesaplardaki giriş bilgilerini değiştirmelerini tavsiye ediyor.