超过两千万名用户的数据被VPN供应商泄露

 

7家声称不保留任何用户数据的VPN供应商，在最近爆出1.2 TB用户数据被泄露，任何人都可以在互联网上访问到这些数据。披露这一事件的vpnMentor的研究员说，这些数据是在两家公司共享的服务器上发现的，其中包括可能多达2000万名VPN用户的个人身份信息(PII)。

除了个人信息(包括用户的电子邮件地址、家庭住址、明文密码和IP地址)，该服务器还被发现存储了多个互联网活动日志，这让人们对VPN供应商声称的严格的无日志政策产生了怀疑。

UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN, 和 Rabbit VPN 这7家公司都与这一事件有牵连。报告指出，这些VPN供应商在香港的服务中都有一个共享的开发者和应用程序，这个程序被认为是挂牌解决方案，即同样的代码，挂上不同的品牌被其他公司重新使用。

研究人员使用其中一种VPN服务(UFO VPN)进行了一系列测试。在下载并使用UFO VPN APP连接到全球各地的服务器后，他们的活动被实时记录在数据库中，包括他们的个人信息，包括电子邮件地址、IP、地址、设备和他们连接的服务器。他们还发现数据库记录了他们创建账户时使用的用户名和密码。

该数据库甚至包含有关安装了vpn的设备的技术数据，如源IP地址、Internet服务提供商、实际位置、设备类型和ID，以及用户的网络连接。用户连接的VPN服务器也被暴露了，包括它的区域和IP地址。

 

危害及建议

总而言之，这些自称“无日志”的VPN服务所记录和暴露的所有细节都可能给用户带来不同量级的问题。

一般来说，我们使用vpn有几个主要原因：1.保护通信安全；2.访问某些国家可能不允许访问的内容3.绕过某些服务对ip地址的限制；4.政治家使用。

另外，网络诈骗分子对这些数据也十分感兴趣，这些VPN用户可能成为他们钓鱼攻击的目标，成为诈骗受害者等等。

按照漏洞披露原则，研究人员于7月5日向VPN供应商报告了安全漏洞，并于7月8日联系了香港的计算机应急响应小组。这些出现问题的服务器在7月15日被关闭。

我们的建议是，这七家VPN提供商的用户最好考虑使用其他的VPN服务，并更改使用了与VPN同样密码的其他服务的密码。