很多人在跨區下載應用程式或造訪其他網站時會利用 VPN 服務,有些 VPN 服務標榜無 Log,不去紀錄使用者的行為也不會與他人共享,基於一般信任原則,用戶並不會過度地去想到這方面的事情,但近日有安全研究公司發現有 7 款 VPN 服務外洩了高達 1.2TB 的用 戶數據,無論免費或付費用戶都要當心。
7 款 VPN 服務經查外洩 1.2TB 用戶資料,現在僅有一款下架
根據安全研究單位 Comparitech 的研究,在總部位於香港,Play 商店安裝下載量超過 1000 萬的 VPN 服務供應商 UFO VPN 上發現該公司在網路上公開了用戶 Log 與 API 訪問紀錄,一般人不需輸入密碼與任何身分驗證就能進入查閱,公開的訊息中包含純文字的密碼與可識別VPN 用戶並追蹤其在線活動的 IP 資訊、作業系統等。這個漏洞同時影響了免費與付費用戶,據 Comparitech 稱,每天有超過 2000 萬個條目添加到 Log 中,而 UFO VPN 恰巧在其網站上擁有 2000 萬用戶,數據量達到 894GB。安全人員在發現未受保護的資料庫當天(7/1)就曾對服務提供商發出警告,提醒注意設定錯誤卻沒有或的相應的回覆與改善。
直到 7/5,VPNmentor 發現該安全漏洞並不僅限於 UFO VPN,總數共有 7 個香港 VPN 供應商 UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN 和 Rabbit VPN 皆共享一個通用程式碼和基礎架構的 White Label VPN,且上面這些 VPN 廠商的資訊也正在外洩,且各服務擁有 1 萬至 100 萬的安裝下載量,使得總洩漏數據量達到 1.2TB。所有 VPN 服務共享一個公用的 Elasticsearch 伺服器,具有相同的付款接收人 Dreamfii HK Limited,其中 3 個服務甚至擁有幾乎一模一樣的官方網站(見下圖),而這些服務更仍在自家網站上標榜無 Log,真是一大諷刺。
目前僅有 Rabbit VPN 一款已經從 Play 商店中下架,其他服務依然可提供下載安裝。消費者在選用 VPN 時要格外小心,不要過度信任各網站與服務上的說法,也不要任意在網路上披露自己的相關資訊,選用信用可靠的 VPN 才是自保的第一道關卡。
◎資料來源:Comparitech、VPNmentor