7家声称不保留任何用户数据的VPN供应商,在最近爆出1.2 TB用户数据被泄露,任何人都可以在互联网上访问到这些数据。披露这一事件的vpnMentor的研究员说,这些数据是在两家公司共享的服务器上发现的,其中包括可能多达2000万名VPN用户的个人身份信息(PII)。
除了个人信息(包括用户的电子邮件地址、家庭住址、明文密码和IP地址),该服务器还被发现存储了多个互联网活动日志,这让人们对VPN供应商声称的严格的无日志政策产生了怀疑。
UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN, 和 Rabbit VPN 这7家公司都与这一事件有牵连。报告指出,这些VPN供应商在香港的服务中都有一个共享的开发者和应用程序,这个程序被认为是挂牌解决方案,即同样的代码,挂上不同的品牌被其他公司重新使用。
研究人员使用其中一种VPN服务(UFO VPN)进行了一系列测试。在下载并使用UFO VPN APP连接到全球各地的服务器后,他们的活动被实时记录在数据库中,包括他们的个人信息,包括电子邮件地址、IP、地址、设备和他们连接的服务器。他们还发现数据库记录了他们创建账户时使用的用户名和密码。
该数据库甚至包含有关安装了vpn的设备的技术数据,如源IP地址、Internet服务提供商、实际位置、设备类型和ID,以及用户的网络连接。用户连接的VPN服务器也被暴露了,包括它的区域和IP地址。
危害及建议
总而言之,这些自称“无日志”的VPN服务所记录和暴露的所有细节都可能给用户带来不同量级的问题。
一般来说,我们使用vpn有几个主要原因:1.保护通信安全;2.访问某些国家可能不允许访问的内容3.绕过某些服务对ip地址的限制;4.政治家使用。
另外,网络诈骗分子对这些数据也十分感兴趣,这些VPN用户可能成为他们钓鱼攻击的目标,成为诈骗受害者等等。
按照漏洞披露原则,研究人员于7月5日向VPN供应商报告了安全漏洞,并于7月8日联系了香港的计算机应急响应小组。这些出现问题的服务器在7月15日被关闭。
我们的建议是,这七家VPN提供商的用户最好考虑使用其他的VPN服务,并更改使用了与VPN同样密码的其他服务的密码。