vpnMentor：香港7家免費VPN外洩用戶資訊

專門評測全球VPN服務的vpnMentor上周揭露，有7家總部位於香港的免費VPN服務所使用的伺服器缺乏安全保護，使得超過2,000萬名用戶的資訊外洩，研究人員認為，這些VPN服務皆來自同一個開發者，且所有服務都標榜不記錄用戶資訊，實際上，近期卻有用戶資訊在未設防的伺服器上曝光。

這7個VPN服務為UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN與Rabbit VPN，它們把用戶資料存放在同一個ElasticSearch伺服器上，而且都來自於Dreamfii HK Limited，只是用了不同的名稱，而根據個別VPN服務所公布的數據，它們總計吸引了超過2,000萬名使用者。

研究人員在該ElasticSearch伺服器上發現了1.2TB的資料量，內含超過10億筆記錄，涵蓋活動記錄、使用者的姓名/電子郵件/家中地址、比特幣付款資訊、支援訊息、個人裝置資訊、技術規模、帳號資訊、Paypal API連結，甚至還有明文密碼。

vpnMentor指出，他們造訪了上述每個VPN服務的官網，發現這些服務都強調提供軍事等級的安全功能，而且採用「零記錄」政策來捍衛使用者的資訊安全，但從該外洩伺服器來看，卻完全相反，因為，這些服務不只記錄使用者的個人資訊、瀏覽行為，還直接儲存明文密碼。

起初，vpnMentor是在今年7月5日發現該外洩資料庫，同一天便開始個別通知這些VPN服務供應商，到了8日，他們通知香港電腦網路危機處理暨協調中心（HK CERT），而這個資料庫則直到15日才被關閉。

有趣的是，UFO VPN回應時指出，這是因為疫情造成人員變動，未發現防火牆規則上的臭蟲才造成資料庫遭駭，而且該公司並未蒐集使用者的地址，同時，所存放的明文密碼也非用戶帳號的登入密碼，而是連結VPN伺服器的權杖，然而，根據vpnMentor所蒐集的證據卻顯示，事情並非UFO VPN所說的這樣。

研究人員建議，上述VPN服務的使用者，應儘速更換到其它更安全的服務，他們也列出10個既免費又安全的VPN服務供使用者參考，還提醒那些資料被曝光的VPN用戶，要小心自己被詐欺、勒索、攻擊、被駭，或是被逮捕及迫害。