7个VPN提供商被指控泄露2000万用户的个人信息

我们经常在这些页面上说过，您在互联网上阅读的所有内容都应加点盐，但不幸的是，我们有太多示例说明了此建议比以往更有效的原因。来自VPNMentor的一组研究人员最近为我们提供了另一个 。

该发现涉及总共七个虚拟专用网络（VPN）应用程序，它们都承诺不会存储或记录使用它们的人员的任何个人和活动数据。然而，实际上，研究人员证明了这些应用程序不仅记录了很多信息，而且还将它们放置在将其公开给全世界的服务器中。

VPN应用将用户数据存储在不受保护的Elasticsearch数据库中

应用程序的名称是UFO VPN，Fast VPN，Free VPN，Super VPN，Flash VPN，Secure VPN和Rabbit VPN。这些应用程序的名称可能不同，但是研究人员几乎确信它们是由同一位开发人员创建的。它们都位于香港，其中一些拥有外观相似的网站，最后但并非最不重要的是，它们都将用户的数据存储在相同的后端基础结构中。

不幸的是，专家们发现了不受密码保护并托管约1.2TB用户数据的Elasticsearch数据库后，才发现了最后一点信息。如果相信VPN提供商声称的用户群，受影响的个人数量可能高达2000万，对于其中一些人，泄漏的后果可能会非常严重。

公开了个人数据，明文密码和活动日志

研究人员很想知道信息是否真实。为此，他们下载了其中一个应用程序（UFO VPN），进行了注册并开始使用它。片刻之后，用于注册帐户的电子邮件地址和明文密码出现在不安全的Elasticsearch数据库中。

除了登录数据外，专家们还发现了很多可个人识别的信息，包括名称，物理地址和家庭IP。敏感的PayPal API链接可以显示付款处理器上的付款客户帐户，并且还提供有关他们在使用应用程序时连接到哪些服务器的信息。

然而，研究人员最震惊的发现之一是活动日志的存在。 VPNMentor的专家共享了记录的屏幕快照，这些记录包含用户的位置，他们正在使用的连接类型，时间戳和他们试图到达的域。对于声称不存储任何浏览数据的说法而言，是如此之多。

对用户的影响可能是灾难性的

这七个应用程序提供的虚拟专用网络几乎没有什么私有的，这对于使用它们的人来说可能是个大问题。例如，VPNMentor共享的屏幕截图之一显示，伊朗的一个人正在使用VPN来查看成人资料。伊朗禁止色情内容，如果识别出该人，他们可能会面临入狱时间。

此外，一般来说，VPN经常被活动家和那些不想透露其真实身份的人们所使用，而公开其数据的七个应用程序可能会使它们处于非常不稳定的境地。很好的一点是，数据库已受到保护，信息不再可以公开访问。但是，将其降低比原本应该的困难。

VPN提供商声称他们没有做错任何事情

VPNMentor的专家于7月5日发现了该数据库，他们立即出发通知VPN提供商。最初只有一家公司回答，似乎不确定发生了什么。研究人员与香港计算机应急响应小组（CERT）的交流也没有取得任何成果。由于服务器位于美国，因此香港当局对此无能为力。

7月15日，数据库终于脱机，研究人员收到了UFO VPN（受影响最大的VPN提供商）的答复。电子邮件中说，由于与COVID-19大流行相关的“人员变更”，UFO VPN忽略了配置错误。他们试图向研究人员保证，他们不会以明文形式存储用户密码，并且不会记录任何浏览活动。泄漏本身证明事实并非如此。

一段时间以来，一直存在争议，如果您想隐藏自己的身份，使用VPN是否是个好主意。像这样的事件肯定对VPN毫无帮助，并且多年来，我们听说很多提供商在保护用户隐私方面做得不够。话虽这么说，由公司提供的配置良好的虚拟专用网络不希望监视您，这不仅在您要访问所在国家/地区无法访问的内容时，而且在您尝试访问时都非常有用。保持匿名水平。最终，这种泄漏证明用户在选择VPN提供商时应格外小心。