香港7间VPN公司泄露用户资料 逾10亿数据于网上被公开
文章来源:安全学习那些事
很多人在跨区下载应用程式或造访其他网站时会利用VPN服务,有些VPN服务标榜无Log,不去纪录使用者的行为也不会与他人共享,基于一般信任原则,用户并不会过度地去想到这方面的事情,但近日有安全公司发现有7款VPN服务外泄了高达1.2TB的用户数据。
根据安全单位Comparitech的研究,在总部位于香港,Play商店安装下载量超过1000万的VPN服务供应商UFO VPN上发现该公司在网路上公开了用户Log与API访问纪录,一般人不需输入密码与任何身份验证就能进入查阅,公开的讯息中包含纯文字的密码与可识别VPN用户并追踪其在线活动的IP资讯、作业系统等。这个漏洞同时影响了免费与付费用户,据Comparitech称,每天有超过2000万个条目添加到Log中,而UFO VPN恰巧在其网站上拥有2000万用户,数据量达到894GB。安全人员在发现未受保护的资料库当天就曾对服务提供商发出警告,提醒注意设定错误却没有或的相应的回覆与改善。
直到7月5日,VPNmentor发现该安全漏洞并不仅限于UFO VPN,总数共有7个香港VPN供应商UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN和Rabbit VPN皆共享一个通用程式码和基础架构的White Label VPN,且上面这些VPN厂商的资讯也正在外洩,且各服务拥有1万至100万的安装下载量,使得总洩漏数据量达到1.2TB。所有VPN服务共享一个公用的Elasticsearch伺服器,具有相同的付款接收人Dreamfii HK Limited,其中3个服务甚至拥有几乎一模一样的官方网站,而这些服务更仍在自家网站上标榜无Log。
目前仅有Rabbit VPN一款已经从Play商店中下架,其他服务依然可提供下载安装。消费者在选用VPN时要格外小心,不要过度信任各网站与服务上的说法,也不要任意在网路上披露自己的相关资讯,选用信用可靠的VPN才是自保的第一道关卡。目前,香港个人资料私隐专员公署将调查VPN公司资料外泄事件。
推荐阅读
*云计算软件服务商遭勒索软件攻击 众多大学和非盈利组织受影响