单个开放服务器列出了来自各种香港 VPN 服务的用户的姓名、密码、电子邮件地址和家庭地址。
Σ据其安全研究人员称 vpnMentor, 七项声称从不记录用户活动的 VPN 服务已经被发现这样做了 - 并在网上泄露了这些信息。
本月早些时候,vpnMentor 他发现了 一个单一的开放式服务器,其中包含七种不同的香港 VPN 服务的用户信息,包括 UFO VPN、快速 VPN 和免费 VPN.
该服务器总共包含 1,2 TB 的数据,包括姓名、密码、电子邮件地址和多用户家庭地址。 但真正令人不安的发现是存储的活动日志,它可以揭示用户访问了哪些站点以及通过哪些用户 ID、IP 地址和设备。
这是一个令人钦佩的事件,因为大多数 VPN 订阅者这样做是为了保护他们的隐私。 然而,暴露的服务器几乎为任何人提供了一种跟踪多达 20 万用户活动的简单方法。
所有受影响的提供商都声称“无需注册”即可提供 VPN 服务,这意味着他们从不记录用户活动的详细信息。 但是,暴露的服务器表明情况并非如此。 VpnMentor 表示:“在某些情况下,用户访问了禁止显示此类内容并受到惩罚的国家/地区的非法网站。”
根据调查,暴露的服务器似乎属于一家公司,该公司提供了 7 个不同名称的 VPN 服务。 VpnMentor 于 5 月 15 日联系了受影响的提供商,但最终不得不在 XNUMX 月 XNUMX 日联系上,直到暴露的服务器得到保护。
UFO VPN 告诉调查人员:“由于 COVID-19 导致人员变动,我们没有立即发现服务器防火墙规则中的错误,这可能导致潜在的违规风险。 不过现在已经修正. ” UFO VPN 还表示,服务器上的所有信息都是“匿名的”,仅用于分析用户网络的性能。
VpnMentor 说情况并非如此。 为了验证他们的发现,研究人员测试了 UFO VPN 应用程序,并注意到用户活动日志实时出现在暴露的服务器上。 他们自己说:“此外,我们可以清楚地看到我们用于创建帐户的用户名和密码,它们以明文形式存储在日志中。=
该事件指出,一些 VPN 提供商只是骗子。 安全研究员肯尼斯·怀特 他发了推文教训:商业 VPN 服务在撒谎。 许多谎言。”
“无日志记录”VPN 服务在开放的 Elasticsearch 服务器上暴露了数百万个用户日志,包括明文密码、地理和 IP,并且在收到通知后需要 2 周以上的时间才能关闭。
教训:商业 VPN 服务撒谎。 很多。
- 肯·怀特 (@kennwhite) 2020 年 7 月 16 日
如果您订阅了 UFO VPN 或其他六家提供商,我们建议您找到更好的选择。 此外,一些 VPN 提供商已经通过了安全检查,以表明他们已经实施了“无日志记录”政策。 其他 合作 在“信任倡议”中,以确保 VPN 行业使用最佳实践来保护其用户的安全和隐私。