来自vpnMentor的安全专家发现了一组七个免费的VPN(虚拟专用网络)应用程序,这些应用程序使他们的服务器不安全在线,公开了专用用户数据,任何人都可以看到。
受影响的VPN服务包括UFO VPN, FAST VPN, FREE VPN, SUPER VPN, Flash VPN, Secure VPN和 Rabbit VPN。
该服务器包含可能超过2000万虚拟专用网络用户的个人身份信息(PII)数据。
公开的数据包括用户的电子邮件和家庭住址,纯文本密码和IP地址,而这个故事最糟糕的方面是服务器还包含用户的互联网活动日志。
这是荒谬的,因为每个虚拟专用网服务都声称它们的服务是“无日志” VPN,这意味着它们不记录任何用户活动。
所有服务似乎都是由同一作者开发的,并被认为是白标解决方案,以不同品牌为多家公司商业化。
在专家做出的假设列表下方:
“基于以下发现,我们相信此次泄漏中暴露的VPN共享同一位开发人员:
专家使用UFO_VPN服务进行了一系列测试,发现他们的在线活动记录在服务器上的数据库中。
vpnMentor研究人员发现,该应用程序正在存储个人详细信息,电子邮件地址,IP,地址,设备以及他们连接的服务器。专家还发现,数据库记录了用于创建帐户的用户名和密码。
“我们的团队在 公开的数据库中找到条目,其中包含有关用户的许多个人详细信息以及有关 安装VPN 的设备的技术信息,包括:
连接的VPN服务器用户也被暴露, 包括其区域和IP地址。” 报告了 vpnMentor。“ 这使得受影响的VPN服务实际上无用, 因为用户的原始IP地址可以连接到他们在目标服务器上的活动。”
研究人员于7月5 日向VPN提供商披露了他们的发现,然后于7月8 日与香港计算机应急小组联系。该服务器已于7月15 日获得安全保护。
许多用户使用VPN提供程序来避免审查制度和极权政府的镇压行动,不幸的是,像专家分析的VPN服务那样,其用户面临严重的风险。
“尽管明确承诺不这样做,但通过记录用户的活动并记录大量PII数据,这些VPN背叛了他们最脆弱的用户,并使他们面临巨大的危险。” 总结专家。
“如果我们查看的记录泄露到了暗网上或公开共享,专制政府可以使用它们来针对他们国家的用户进行逮捕,拘留和监禁。”