在香港,多個免費的VPN應用程式記錄了數百萬用戶的網路活動,並將這些資料不安全地暴露在網路上,任何人都可以找到。這一批假冒的無日誌VPN被VPNMentor的研究團隊發現,並於2020年7月15日在其部落格上發布了結果。他們在通知相關VPN和當局後,確認被曝光的伺服器最終得到了保護。為了防止用戶個人識別資訊遭到進一步的利用,發布的時間被推遲。
涉事VPN服務的完整名單
根據VPNMentor的發現,以下VPN服務有問題:
- UFO VPN
- FAST VPN
- FREE VPN
- Super VPN
- Flash VPN
- Rabbit VPN
資料外洩的嚴重性
作為其網路安全研究的一部分,VPNMentor在網路上搜尋不安全的伺服器,例如發現這些VPN公司日誌的Elasticsearch伺服器。這些資訊不僅在開放的網路上未加保護,還未加密。雖然尚不清楚其他第三方是否能夠存取這些公司的VPN日誌,但僅僅是這些日誌的存在以及被VPN應用程式本身使用的想法,對於大多數VPN用戶來說,應該已經足夠令人恐懼。
發現的日誌包含個人識別資訊
為了確認資料庫的真實性,VPNMentor團隊下載了UFO VPN應用程序,確實發現開放資料庫得到了更新。 VPNMentor表示,在註冊並使用UFO VPN應用程式後,他們注意到自己的日誌開始出現在資料庫中:
“在這樣做後,新的活動日誌在資料庫中被創建,包含我們的個人詳細信息,包括電子郵件地址、位置、IP地址、設備以及我們連接的伺服器。”
不同應用之間的關聯性
透過研究,VPNMentor也發現,這些所謂的獨立VPN應用程式似乎都是由同一家公司和開發團隊製作的。它們共享功能、網站設計和其他指標,表明它們依賴相同的白標程式碼庫。可以說,證據確鑿的是,這些所謂獨立的VPN應用程式共享同一個不受保護的Elasticsearch伺服器,用於儲存它們告訴數百萬用戶不保留的VPN日誌。根據VPNMentor的調查,這些日誌包括:
- 連接日誌、流量和訪問的網站
- 來源IP位址
- 網路服務供應商(ISP)
- 實際位置
- 設備類型
- 設備ID
- 應用程式版本
- 手機型號
- 使用者網路連線
假冒無日誌VPN的難以追責
在VPNMentor的曝光下,涉事的VPN甚至對發現的日誌的來源和內容撒謊。香港相關當局-香港電腦緊急應變小組(HKCERT)對此未能採取任何措施,回應VPNMentor的報告時表示:
「我們已通知您提到的IP的ASN進行跟進。由於該IP位置的國家為美國,您提供的日誌無法顯示與香港相關的信息。請您聯繫US-Cert尋求幫助,或提供更多信息以顯示資料外洩事件與香港有關。
雖然適當定位的用戶可能會根據GDPR或CCPA起訴這些違規VPN公司,但此事件應提醒VPN用戶,驗證VPN公司無日誌聲明的步驟是不可忽視的。正如涉事VPN的名稱所暗示的,這些VPN應用程式似乎是針對更不成熟和毫無防備的VPN用戶。請記住,這些免費的VPN仍然聲稱不保留日誌,但它們的謊言已被曝光。如果您是這些VPN應用程式的用戶,立即卸載它們是個明智的選擇。
結論
在選擇VPN服務時,使用者應保持警惕,確保所選VPN能真正保障其隱私與安全。選擇經過驗證的、信譽良好的VPN服務是保護個人資訊的最佳方法。
