更多

    號稱零 log 香港 VPN 洩 2,000 萬用戶資料任人睇

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    港區國安法實施前,本港 VPN 用戶數量急增。使用 VPN ,本以為保障用戶上網私隱。不過卻發生用戶私隱洩露事件,更有 7 間香港 VPN 服務商牽涉其中,所提供的無記錄 VPN 服務,卻將逾 2,000 萬用戶的資料放在雲端伺服器任人取閱。

    vpnMentor 研究團隊發現,有 7 間 VPN 服務商將用戶紀錄儲存在雲端伺服器,而且未有任何密碼和加密保護,令超過 2,000 萬用戶的個人資料任人存取。

    出事的 VPN 服務商包括:

    • UFO VPN
    • FAST VPN
    • Free VPN
    • Super VPN
    • Flash VPN
    • Secure VPN
    • Rabbit VPN

    七間 VPN 服務商實際上是由一間香港公司經營,提供宣稱無記錄( no-log ) VPN 服務。不過,儲存 1.2TB 用戶資料的雲端伺服器 Elasticsearch 未有任何保護。用戶的個人資料包括:

    • 全名
    • 住址或工作地址
    • 用戶實際 IP 地址、連線的 VPN 伺服器地址
    • VPN 帳戶身分(電郵、用戶名稱、密碼)

    同時記錄用戶的網絡活動數據:

    • 曾瀏覽網站
    • IP 地址
    • ISP
    • 實際位置
    • 裝置類型
    • 程式版本
    • 手機型號

    雖然是香港的 VPN 服務商,但用戶來自全球各地。 vpnMentor 列出幾個用戶資料,包括來自伊朗、蘇丹、孟加拉等地,甚至有伊朗用戶瀏覽過 pronhub 的記錄。

    來自伊朗的 FAST VPN 用戶。

    來自蘇丹的用戶。

    美國用戶在 Paypal 付款記錄。
    美國用戶在 Paypal 付款記錄。

    VPNMentor 表示他們曾經聯絡香港電腦保安事故協調中心( HKCERT ),得到了以下回應:

    我們已經通知了你所提到 IP 的 ASN 作出跟進。由於 IP 所在地的國家是美國,而你所提供的記錄不能顯示資料與香港有關,請你聯絡 US-Cert 尋求協助,或提供更多資料顯示資料洩漏事件與香港有關?

    由於涉事 VPN 供應商的伺服器位於美國,即使有證據顯示涉事 VPN 服務商是由香港公司經營, HKCERT 似乎也無法為用戶提供幫助。

    雖然不少 VPN 都宣稱不會保存用戶活動紀錄,不過實際有多少 VPN 服務供應商真的如此實行?現時有一些 VPN 服務供應商,定期聘請獨立第三方審計員去審查系統有沒有遵守不保留紀錄原則,這對用戶會起到一定保障作用。

    您會感興趣的內容

    相關文章