多款香港VPN應用程序在網上洩露了用戶的私人數據

新聞來源:《Technadu》;作者:Bill Toulas;發佈時間:2020年7月16日

翻譯/簡評:文明明;校對:孫行者;審核:InAHurry;Page:拱卒

簡評

VPN 對大多數人來說並不陌生,相信很多人都有使用VPN的經歷。對於牆內的人來說,使用VPN的主要目的是想登錄國內不允許使用的網站,因為這是我們在國內跨過防火牆,獲得牆外真實信息的唯一途徑。當然這是有風險的。

因為自己無法查證真偽,非專業人士很容易相信這些VPN公司承諾的“無登錄記錄”,以為這樣可以降低被網警發現的風險,孰不知這些無良公司為了利益,向廣大用戶提供了不完善的系統和虛假承諾,置用戶於危險之中。因此,我們在譴責這些不良的商業行為的同時,也要多學習一些網絡安全的知識,提高風險意識,不要貪圖一時小利(使用免費Apps)而影響到自己和家人的安全。就像我們常說的那樣,天下沒有免費的午餐。

多款香港VPN應用程序在網上洩露了用戶的私人數據

• 有事實證明,七種香港的VPN產品正在記錄大量的用戶數據。

• 這些產品將數據存儲在沒有保護措施的彈性搜索(Elasticsearch)引擎的公共服務器上。

• 數據洩露了大量的信息,包括用戶姓名、電子郵件、密碼、IP地址、家庭地址等。

這一組七個被認為是提供“無登錄記錄(no-log)”服務的VPN產品由於沒有對服務器採取保護措施而在網上暴露了2000萬用戶。由於這七種產品全部來自同一家香港開發商Dreamfii HK Limited,所以它們使用的是相同的Elasticsearch服務器。

被曝光的VPN是UFO VPN,FAST VPN,Free VPN,Super VPN,Flash VPN,Secure VPN和Rabbit VPN,被洩露的文件數量超過10億,總數據量大約為1.2 TB。

被洩露的用戶數據包括以下內容:

  • 上網登錄記錄
  • 用戶姓名
  • 電子郵件地址
  • 純文本形式的密碼
  • IP地址
  • 住家地址
  • 智能手機設備型號和ID
Source: Comparitech Blog

對於“無登錄記錄” VPN來說,這種方式收集的數據實在是太多了,因此這些產品的營銷承諾顯然是錯誤的。如果用戶訪問本國被禁網站的信息被洩露,他們將面臨被騙、被勒索、被釣魚、甚至被逮捕和起訴的風險。

這些應用程序在Apple App Store和Google Play商店中獲得了很高的用戶評分,因此受到了數百萬人的信任。為用戶提供免費使用的事實足以使用戶忽略了這些產品的隱私和安全問題。

Ran Locar和Bob Diachenko經過獨立調查,發現了網絡不安全實例並將安全問題通知了提供VPN服務的公司,但他們沒有得到公司的回應。他們發現問題並發出通知的日期是2020年7月5日,但是直到十天后實時服務器才關閉。這表明VPN公司的高層並不在乎產品的安全性和不良的商業運作。

這些VPN產品將會因此而失去一些用戶,但是這樣的新聞不可能傳達到所有人,免費產品在將來還是會吸引新的用戶。

正如我們之前所解釋的,確認VPN產品的“無登錄記錄(no-log)”政策是否有效的唯一方法是由獨立公司進行信用審核。例如,NordVPN最近通過了此類審核,PureVPN去年也進行了同樣的審核。這些產品值得信賴,不是因為它們在各自的網站上向用戶再三保證,而是因為他們請審計公司對他們的產品進行徹底的調查來確認它們的產品政策的真實性。

原文鏈接

編輯:【 喜馬拉雅戰鷹團

2+
0 則留言
Inline Feedbacks
View all comments

熱門文章