连续6年不跑路的安全速度最适合国人VPN
事件概述
香港的VPN供應商UFO VPN在網路上暴露了用戶日誌和API存取記錄的資料庫,存取該資料庫不需要密碼或其他任何身份驗證。這些洩漏的資訊包括明文密碼和可能用於識別VPN用戶及追蹤其線上活動的資訊。
根據Comparitech的安全研究團隊負責人Bob Diachenko的發現,這起外洩事件影響了UFO VPN的免費用戶和付費用戶。他在2020年7月1日發現這些洩漏的資料後,立即通知了該公司。
資料外洩的更新
2020年7月21日更新:在洩漏資料被保護後,2020年7月20日,這些資料在一個不同的IP位址上再次出現。我們認為這第二次洩漏的資料集更大,包含截至7月19日的記錄。
目前尚不清楚有多少用戶受到影響,但我們的調查顯示,在洩漏發生時,可能所有連接到UFO VPN的用戶都可能面臨風險。 UFO VPN在其網站上聲稱擁有2000萬用戶,而該資料庫每天暴露超過2000萬條日誌。
資料外洩時間軸
- 2020年6月27日:託管資料的伺服器首次被搜尋引擎Shodan.io索引。
- 2020年7月1日:Diachenko發現洩漏資料並立即通知UFO VPN。
- 2020年7月14日:Diachenko通知託管提供者。
- 2020年7月15日:資料庫被保護。
- 2020年7月20日:資料庫第二次洩露,包含截至7月19日的新資料。
- 2020年7月20日:第二次洩漏的資料集遭到攻擊,幾乎所有記錄被「Meow」機器人攻擊摧毀,僅剩下新新增的記錄。
我們尚不清楚在資料外洩期間是否有未經授權的第三方存取了這些資料。我們的研究顯示,駭客可以在資料庫暴露後的幾小時內找到並攻擊這些資料庫。
外洩的資料內容
894 GB的資料儲存在一個不安全的Elasticsearch叢集中。 UFO VPN聲稱這些資料是「匿名」的,但根據現有證據,我們認為使用者日誌和API存取記錄包括以下資訊:
- 明文的帳號密碼
- VPN會話秘密和令牌
- 用戶設備和連接的VPN伺服器的IP位址
- 連線時間戳
- 地理標籤
- 設備和作業系統特徵
- 看似是向免費用戶的網頁瀏覽器注入廣告的網域URL
這些資訊與UFO VPN的隱私權政策相矛盾,該政策聲明:“我們不追蹤用戶在我們網站外的活動,也不追蹤使用我們服務的用戶的網頁瀏覽或連接活動。”
洩漏資料的風險
如果不法分子在資料被保護之前取得了這些數據,可能會對UFO VPN使用者造成多種風險:
- 明文密碼:駭客不僅可以利用這些密碼劫持UFO VPN帳戶,還可能對其他帳號進行憑證填入攻擊。如果多個帳戶使用相同的密碼,所有帳戶都有可能被攻陷。
- IP位址:這些位址可以用於推測使用者的去向並驗證其線上活動。 VPN的主要作用是隱藏使用者的真實位置和線上活動。
- 會話秘密和令牌:駭客可以利用這些資訊解密他們可能捕獲的會話資料。例如,如果駭客在被攻擊的Wi-Fi網路上攔截了透過VPN發送的加密數據,他們可以利用這些資訊解密資料。
- 電子郵件地址:駭客可以利用這些資訊向用戶發送客製化的網路釣魚資訊和詐騙。
這次洩漏事件表明,我們常常建議讀者避免使用免費的VPN服務,因為它們的安全性和隱私標準往往較低。理想情況下,VPN服務應該不保留任何日誌,包括IP位址。
關於UFO VPN
UFO VPN是一家總部位於香港的VPN供應商,聲稱其網站上有2000萬用戶。該公司聲稱擁有零日誌政策和“銀行級保護”,但這一說法值得懷疑。該公司提供免費和付費計劃,主要行銷焦點是解除內容限制,承諾訪問被封鎖的網站、應用程式和區域限制的串流媒體服務,如Netflix。
總結
這次資料外洩事件再次提醒用戶在選擇VPN服務時要謹慎,特別是免費的VPN服務。使用者應立即更改UFO VPN的密碼以及任何共享相同密碼的其他帳戶。我們希望透過提高網路安全意識,減少對最終用戶可能造成的傷害。
注意:我們建議UFO VPN用戶立即更改他們的密碼,以及任何其他共享相同密碼的帳戶。
