7個VPN提供商被指控洩露2000萬用戶的個人信息

我們經常在這些頁面上說過，您在互聯網上閱讀的所有內容都應加點鹽，但不幸的是，我們有太多例子說明了此建議比以往更有效的原因。來自VPNMentor的一組研究人員最近為我們提供了另一個 。

該發現涉及總共七個虛擬專用網絡（VPN）應用程序，它們都承諾不會存儲或記錄使用它們的人員的任何個人和活動數據。然而，實際上，研究人員證明了這些應用程序不僅記錄了很多信息，而且還將它們放置在將其公開給全世界的服務器中。

VPN應用將用戶數據存儲在不受保護的Elasticsearch數據庫中

應用程序的名稱是UFO VPN，Fast VPN，Free VPN，Super VPN，Flash VPN，Secure VPN和Rabbit VPN。這些應用程序的名稱可能不同，但研究人員幾乎確信它們是由同一位開發人員創建的。它們都位於香港，其中一些擁有外觀相似的網站，最後但並非最不重要的是，它們都將用戶的數據存儲在相同的後端基礎結構中。

不幸的是，專家們發現了不受密碼保護並託管約1.2TB用戶數據的Elasticsearch數據庫後，才發現了最後一點信息。如果相信VPN提供商聲稱的用戶群，受影響的個人數量可能高達2000萬，對於其中一些人，洩漏的後果可能會非常嚴重。

公開了個人數據，明文密碼和活動日誌

研究人員很想知道這些信息是否真實。為此，他們下載了其中一個應用程序（UFO VPN），進行了註冊並開始使用它。過了一會兒，他們用來註冊帳戶的電子郵件地址和明文密碼出現在不安全的Elasticsearch數據庫中。

除了登錄數據外，專家們還發現了很多可個人識別的信息，包括名稱，物理地址和家庭IP。敏感的PayPal API鏈接可以顯示付款處理器上的付款客戶帳戶，並且還提供有關他們在使用應用程序時連接到哪些服務器的信息。

然而，研究人員最令人震驚的發現之一是活動日誌的存在。 VPNMentor的專家共享了記錄的屏幕快照，這些記錄包含用戶的位置，他們正在使用的連接類型，時間戳以及他們試圖到達的域。對於聲稱不存儲任何瀏覽數據的說法而言，是如此之多。

對用戶的影響可能是災難性的

這七個應用程序提供的虛擬專用網絡幾乎沒有什麼私有的，這對於使用它們的人來說可能是個大問題。例如，VPNMentor共享的屏幕快照之一顯示，伊朗的一個人正在使用VPN來查看成人資料。伊朗禁止色情內容，如果識別出該人，他們可能會面臨入獄時間。

此外，一般來說，VPN經常被活動家和確實不想透露其真實身份的人們使用，並且公開數據的七個應用程序可能會使它們處於非常不穩定的境地。很好的一點是，數據庫受到保護，信息不再可以公開訪問。但是，將其降低比原本應該的困難。

VPN提供商聲稱他們沒有做錯任何事情

VPNMentor的專家於7月5日發現了該數據庫，他們立即出發通知VPN提供商。最初只有一家公司回答，似乎不確定發生了什麼。研究人員與香港計算機應急響應小組（CERT）的交流也沒有取得任何成果。由於服務器位於美國，因此香港當局對此無能為力。

7月15日，數據庫終於脫機，研究人員收到了UFO VPN（受影響最大的VPN提供商）的答复。電子郵件中說，由於與COVID-19大流行相關的“人員變更”，UFO VPN忽略了配置錯誤。他們試圖向研究人員保證，他們不會以明文形式存儲用戶密碼，並且不會記錄任何瀏覽活動。洩漏本身證明事實並非如此。

一段時間以來，一直存在爭議，如果您想隱藏自己的身份，使用VPN是否是個好主意。像這樣的事件肯定對VPN毫無幫助，並且多年來，我們聽說很多提供商在保護用戶隱私方面做得不夠。話雖這麼說，一家公司提供的配置良好的虛擬專用網絡不想監視您，這不僅在您要訪問所在國家/地區無法訪問的內容時，而且在您嘗試訪問時都非常有用。保持匿名水平。最終，這種洩漏證明用戶在選擇VPN提供商時應格外小心。