VPN服务泄露用户数据的事件
最近,一份报告揭示了七家声称不记录用户在线活动的虚拟私人网络(VPN)服务提供商的安全实践,引发了广泛的关注。这些VPN提供商在一个共享服务器上暴露了高达1.2TB的私人用户数据,可能涉及多达2000万名VPN用户的个人身份信息(PII)。这一泄露事件由vpnMentor的研究人员发现。
用户数据泄露的具体内容
泄露的数据不仅包含用户的电子邮件和家庭地址,还包括明文密码和IP地址。更令人担忧的是,服务器中还存储了多个互联网活动日志,这使得这些VPN提供商关于严格不记录日志政策的声明受到质疑。
涉事的VPN服务
以下VPN服务受到此次事件影响: - UFO VPN - FAST VPN - FREE VPN - SUPER VPN - Flash VPN - Secure VPN - Rabbit VPN
这些服务均位于香港,研究人员认为它们可能是由同一开发者提供的白标解决方案,因其共享相同的Elasticsearch服务器和资产,并且在支付方面也共享同一收款人。
测试揭示的问题
研究人员使用UFO VPN进行了一系列测试。在下载并使用其移动应用连接全球服务器后,他们的活动被记录在数据库中,包含了他们的个人信息,如电子邮件地址、IP地址、设备信息以及连接的服务器。测试结果不仅证实了研究人员的怀疑,还发现数据库中记录了用户创建账户时使用的用户名和密码。
数据库的技术信息
数据库中甚至包含了有关VPN安装设备的技术数据,如来源IP地址、互联网服务提供商、实际位置、设备型号、类型和ID,以及用户的网络连接情况。vpnMentor指出:“VPN服务器的用户连接信息也被暴露,包括其区域和IP地址。这使得受影响的VPN服务几乎无用,因为用户的来源IP地址可以与其在目标服务器上的活动关联起来。”
VPN服务使用的风险
总的来说,这些自称为“不记录日志”的VPN服务所暴露的所有细节,可能会对用户造成不同程度的问题。用户使用VPN的主要原因包括增加安全性和隐私、访问在特定国家可能不合法的内容(例如色情内容)、绕过地理限制,或为政治活动家提供保护。
根据恶意行为者的目标,VPN用户可能会遭遇网络钓鱼活动、欺诈、勒索、逮捕和迫害等风险。
负责任的披露
研究人员遵循负责任的披露指南,于7月5日向VPN提供商透露了安全漏洞,并于7月8日联系了香港计算机应急响应小组。该服务器于7月15日关闭。
建议与总结
任何使用上述七家VPN服务的用户都应考虑切换到其他服务,并更改他们在其他在线账户上的登录信息。此报告不应阻止您使用VPN,而应提醒您仔细选择VPN提供商,以确保您的隐私和安全不受侵犯。
