事件概述
香港的VPN供应商UFO VPN在网络上暴露了用户日志和API访问记录的数据库,访问该数据库不需要密码或其他任何身份验证。这些泄露的信息包括明文密码和可能用于识别VPN用户及跟踪其在线活动的信息。
根据Comparitech的安全研究团队负责人Bob Diachenko的发现,这一泄露事件影响了UFO VPN的免费用户和付费用户。他在2020年7月1日发现这些泄露的数据后,立即通知了该公司。
数据泄露的更新
2020年7月21日更新:在泄露数据被保护后,2020年7月20日,这些数据在一个不同的IP地址上再次出现。我们认为这第二次泄露的数据集更大,包含截至7月19日的记录。
目前尚不清楚有多少用户受到影响,但我们的调查显示,在泄露发生时,可能所有连接到UFO VPN的用户都可能面临风险。UFO VPN在其网站上声称拥有2000万用户,而该数据库每天暴露超过2000万条日志。
数据泄露时间线
- 2020年6月27日:托管数据的服务器首次被搜索引擎Shodan.io索引。
- 2020年7月1日:Diachenko发现泄露数据并立即通知UFO VPN。
- 2020年7月14日:Diachenko通知托管提供商。
- 2020年7月15日:数据库被保护。
- 2020年7月20日:数据库第二次泄露,包含截至7月19日的新数据。
- 2020年7月20日:第二次泄露的数据集遭到攻击,几乎所有记录被“Meow”机器人攻击摧毁,仅剩下新添加的记录。
我们尚不清楚在数据泄露期间是否有未经授权的第三方访问了这些数据。我们的研究显示,黑客可以在数据库被暴露后的几小时内找到并攻击这些数据库。
泄露的数据内容
894 GB的数据存储在一个不安全的Elasticsearch集群中。UFO VPN声称这些数据是“匿名”的,但根据现有证据,我们认为用户日志和API访问记录包括以下信息:
- 明文的账户密码
- VPN会话秘密和令牌
- 用户设备和连接的VPN服务器的IP地址
- 连接时间戳
- 地理标签
- 设备和操作系统特征
- 看似是向免费用户的网页浏览器注入广告的域名URL
这些信息与UFO VPN的隐私政策相矛盾,该政策声明:“我们不跟踪用户在我们网站外的活动,也不跟踪使用我们服务的用户的网页浏览或连接活动。”
泄露数据的风险
如果不法分子在数据被保护之前获取了这些数据,可能会对UFO VPN用户造成多种风险:
- 明文密码:黑客不仅可以利用这些密码劫持UFO VPN账户,还可能对其他账户进行凭证填充攻击。如果多个账户使用相同的密码,所有账户都有可能被攻陷。
- IP地址:这些地址可以用于推测用户的去向并验证其在线活动。VPN的主要作用是隐藏用户的真实位置和在线活动。
- 会话秘密和令牌:黑客可以利用这些信息解密他们可能捕获的会话数据。例如,如果黑客在被攻击的Wi-Fi网络上拦截了通过VPN发送的加密数据,他们可以利用这些信息解密数据。
- 电子邮件地址:黑客可以利用这些信息向用户发送定制的网络钓鱼信息和诈骗。
这次泄露事件表明,我们常常建议读者避免使用免费的VPN服务,因为它们的安全性和隐私标准往往较低。理想情况下,VPN服务应该不保留任何日志,包括IP地址。
关于UFO VPN
UFO VPN是一家总部位于香港的VPN供应商,声称其网站上有2000万用户。该公司声称拥有零日志政策和“银行级保护”,但这一说法值得怀疑。该公司提供免费和付费计划,主要营销焦点是解除内容限制,承诺访问被阻止的网站、应用程序和区域限制的流媒体服务,如Netflix。
总结
这次数据泄露事件再次提醒用户在选择VPN服务时要谨慎,特别是免费的VPN服务。用户应立即更改UFO VPN的密码以及任何共享相同密码的其他账户。我们希望通过提高网络安全意识,减少对最终用户可能造成的伤害。
注意:我们建议UFO VPN用户立即更改他们的密码,以及任何其他共享相同密码的账户。
