在香港,多个免费的VPN应用程序记录了数百万用户的互联网活动,并将这些数据不安全地暴露在互联网上,任何人都可以找到。这一批假冒的无日志VPN被VPNMentor的研究团队发现,并于2020年7月15日在其博客上发布了结果。他们在通知相关VPN和当局后,确认被曝光的服务器最终得到了保护。为了防止用户个人身份信息遭到进一步的利用,发布的时间被推迟。
涉事VPN服务的完整名单
根据VPNMentor的发现,以下VPN服务存在问题:
- UFO VPN
- FAST VPN
- FREE VPN
- Super VPN
- Flash VPN
- Rabbit VPN
数据泄露的严重性
作为其网络安全研究的一部分,VPNMentor在互联网上搜索不安全的服务器,例如发现这些VPN公司日志的Elasticsearch服务器。这些信息不仅在开放的网络上未加保护,还未加密。虽然尚不清楚其他第三方是否能够访问这些公司的VPN日志,但仅仅是这些日志的存在以及被VPN应用程序本身使用的想法,对于大多数VPN用户来说,应该已经足够令人恐惧。
发现的日志包含个人身份信息
为了确认数据库的真实性,VPNMentor团队下载了UFO VPN应用程序,确实发现开放数据库得到了更新。VPNMentor表示,在注册并使用UFO VPN应用程序后,他们注意到自己的日志开始出现在数据库中:
“在这样做后,新的活动日志在数据库中被创建,包含我们的个人详细信息,包括电子邮件地址、位置、IP地址、设备以及我们连接的服务器。”
不同应用之间的关联性
通过研究,VPNMentor还发现,这些所谓的独立VPN应用似乎都是由同一家公司和开发团队制作的。它们共享功能、网站设计和其他指标,表明它们依赖于相同的白标代码库。可以说,证据确凿的是,这些所谓独立的VPN应用共享同一个不受保护的Elasticsearch服务器,用于存储它们告诉数百万用户不保留的VPN日志。根据VPNMentor的调查,这些日志包括:
- 连接日志、流量和访问的网站
- 源IP地址
- 网络服务提供商(ISP)
- 实际位置
- 设备类型
- 设备ID
- 应用版本
- 手机型号
- 用户网络连接
假冒无日志VPN的难以追责
在VPNMentor的曝光下,一家涉事的VPN甚至对发现的日志的来源和内容撒谎。香港相关当局——香港计算机应急响应小组(HKCERT)对此未能采取任何措施,回应VPNMentor的报告时表示:
“我们已通知您提到的IP的ASN进行跟进。由于该IP位置的国家为美国,您提供的日志无法显示与香港相关的信息。请您联系US-Cert寻求帮助,或提供更多信息以表明数据泄露事件与香港有关。”
虽然适当定位的用户可能会根据GDPR或CCPA起诉这些违规VPN公司,但这一事件应提醒VPN用户,验证VPN公司无日志声明的步骤是不可忽略的。正如涉事VPN的名称所暗示的,这些VPN应用似乎是针对更不成熟和毫无防备的VPN用户。请记住,这些免费的VPN仍然声称不保留日志,但它们的谎言已被曝光。如果您是这些VPN应用的用户,立即卸载它们是个明智的选择。
结论
在选择VPN服务时,用户应保持警惕,确保所选VPN能够真正保障其隐私与安全。选择经过验证的、信誉良好的VPN服务是保护个人信息的最佳方法。
