驚人發現 7 家 VPN 服務屬同一香港公司
7.1 港區國安法之後,有不少香港用家購買 VPN (虛擬私人網絡) 上網,認為此舉能確保隱藏真實 IP 及用家身份,惟 VPNMentor 最新調查報告,近日有 7 個 VPN 服務供應商,意外導致超過 10 億項記錄外洩,涉及約 2,000 萬個用戶,當中不少為香港用家,其中包括活動日誌、個人資料、付款資訊、個人裝置數據、帳號資料、Paypal API 連結,甚至連明文密碼亦無法倖免,這些公司仍然運作並若無其事。
據 VPNMentor 經調查後指出,這 7 個 VPN 服務品牌包括「UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN 及 Rabbit VPN,這些 VPN 服務品牌經常透過廣告及優惠吸引用家使用,在香港市場佔有率非常高,這 7 個 VPN 供應商均聲稱採用軍事級安全防護及零日誌政策,但事實上卻從未遵守規定,亦未有妥善處理用戶數據及適當配置雲端系統。
經深入調查後發現,以上的 VPN 服務均由同一個開發商提供,這個公司總部為香港、公司名字為 Dreamfii HK Limited,全部採用相同或非常相似的代碼、相同的後端系統及相同的 ElasticSearch 雲數據庫,由於雲端資料庫配置錯誤而洩漏。
事件涉及大約 2000 萬用戶、共 10 億個數據庫條目被公開,其中包括各種數據字段,何如活動日誌、名稱、電子郵件、家庭住址、,明文密碼,付款資訊、個人裝置數據、帳號資料、Paypal API 連結,這些 VPN 不僅收集了根本不應該保留的數據,而且不經意間公開了它們。
據網絡安全專家 Aaron Clarkson 指出,由於 7.1 港區國安法生效後,不少香港用家以為購買 VPN 可保平安,事實上 VPN 非萬能亦非隱身術,無法隱藏或改變用戶的身份,即使瀏覽的網站無法掌握用戶的確實位置,但用戶的真正身份依然不變。
使用 VPN 時雖然如同轉換網絡服務供應商 (ISP),而 VPN 供應商依然可以得知用戶的原始網絡流量及來源,就如ISP一樣,亦必須緊記VPN與ISP同樣受法例約束,最終個人身份亦會被披露。
一些不知名的 VPN 服務其實背後是由黑客經營,使用這些 VPN 不僅不會變得安全,反過來你的一舉一動已被監視,個人資料及使用數據亦有可能紀錄。
VPNMentor report VPNs Leak from Hong Kong
https://www.vpnmentor.com/blog/report-free-vpns-leak/
naked security Report
https://nakedsecurity.sophos.com/2020/07/20/7-vpns-that-leaked-their-logs-the-logs-that-didnt-exist/