vpnMentor揭露7家來自同一個開發者的免費VPN服務,標榜不紀錄用戶資訊,卻暗中蒐集用戶資料存放在缺乏安全保護的伺服器,導致用戶明文密碼等個資曝光。(圖片來源/vpnMentor)

專門評測全球VPN服務的vpnMentor上周揭露,有7家總部位於香港的免費VPN服務所使用的伺服器缺乏安全保護,使得超過2,000萬名用戶的資訊外洩,研究人員認為,這些VPN服務皆來自同一個開發者,且所有服務都標榜不記錄用戶資訊,實際上,近期卻有用戶資訊在未設防的伺服器上曝光。

這7個VPN服務為UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN與Rabbit VPN,它們把用戶資料存放在同一個ElasticSearch伺服器上,而且都來自於Dreamfii HK Limited,只是用了不同的名稱,而根據個別VPN服務所公布的數據,它們總計吸引了超過2,000萬名使用者。

研究人員在該ElasticSearch伺服器上發現了1.2TB的資料量,內含超過10億筆記錄,涵蓋活動記錄、使用者的姓名/電子郵件/家中地址、比特幣付款資訊、支援訊息、個人裝置資訊、技術規模、帳號資訊、Paypal API連結,甚至還有明文密碼。

vpnMentor指出,他們造訪了上述每個VPN服務的官網,發現這些服務都強調提供軍事等級的安全功能,而且採用「零記錄」政策來捍衛使用者的資訊安全,但從該外洩伺服器來看,卻完全相反,因為,這些服務不只記錄使用者的個人資訊、瀏覽行為,還直接儲存明文密碼。

起初,vpnMentor是在今年7月5日發現該外洩資料庫,同一天便開始個別通知這些VPN服務供應商,到了8日,他們通知香港電腦網路危機處理暨協調中心(HK CERT),而這個資料庫則直到15日才被關閉。

有趣的是,UFO VPN回應時指出,這是因為疫情造成人員變動,未發現防火牆規則上的臭蟲才造成資料庫遭駭,而且該公司並未蒐集使用者的地址,同時,所存放的明文密碼也非用戶帳號的登入密碼,而是連結VPN伺服器的權杖,然而,根據vpnMentor所蒐集的證據卻顯示,事情並非UFO VPN所說的這樣。

研究人員建議,上述VPN服務的使用者,應儘速更換到其它更安全的服務,他們也列出10個既免費又安全的VPN服務供使用者參考,還提醒那些資料被曝光的VPN用戶,要小心自己被詐欺、勒索、攻擊、被駭,或是被逮捕及迫害。


Advertisement

更多 iThome相關內容