上周,一名网络窃贼提供了超过2100万移动VPN应用用户的详细证件,并在网上发布了出售广告。据称,这名窃贼窃取了VPN应用自己收集的用户数据。这些数据包括supervpn、GeckoVPN和ChatVPN三个VPN应用的用户的邮箱地址、随机生成的密码字符串、支付信息和设备id。

这些攻击尚未得到VPN开发商的证实,是针对VPN行业的最新隐私攻击。自2019年以来,有两起类似的错误被曝光,其中一起大规模数据泄露事件暴露了几款VPN应用“不收集用户活动日志”的空洞承诺。在那次数据泄露中,VPN提供商不仅没有兑现他们的承诺,而且还窃取了额外的数据,包括用户的电子邮件地址、明文密码、IP地址、家庭地址、手机型号和设备id。

那么,对于普通消费者来说,隐私陷阱开始描绘出一幅再熟悉不过的画面:用户在管理他们的在线隐私时仍然感到孤独,即使他们依赖旨在增强隐私的工具。

网络安全研究员特洛伊·亨特谁在推特上写了最近的数据泄露他说,整个问题“一团糟,及时提醒了人们为什么信任VPN提供商是如此重要。”

他继续说:“这种级别的日志记录不是任何人在使用一个旨在‘改善’隐私的服务时所期望的,更不用说他们后来泄露了所有的数据。”

SuperVPN、GeckoVPN、ChatVPN数据泄露

今年2月底,一名用户在一个流行的黑客论坛上声称,他们窃取了谷歌Play应用商店中三个不同vpn应用的用户账户信息和证书。这三个vpn应用分别是SuperVPN、GeckoVPN和ChatVPN。

这三款应用的受欢迎程度各不相同。根据谷歌Play的统计,ChatVPN已经获得了超过5万的安装量,GeckoVPN已经获得了超过1000万的安装量,SuperVPN是目前最受欢迎的Android免费VPN应用之一,其名称的安装量已经超过1亿。

尽管SuperVPN很受欢迎,但它也是Android设备上评价最严厉的VPN应用之一。去年4月,《汤姆指南》(Tom 's Guide)的一名作家发现了这款应用的关键漏洞,这让他非常担心,以至于这篇评论的标题把当前用户引到了:现在删除它就在一个月后,TechRadarPro的一名评论员说道说SuperVPN的隐私政策“毫无价值”这是由其他公司的隐私政策拼凑而成的,直接自相矛盾。

不到一年之后,这一隐私政策再次受到关注,因为一起数据泄露事件引发了人们的质疑什么应用程序实际收集的信息类型。

据从SuperVPN、GeckoVPN和ChatVPN盗取信息的窃贼称,出售的数据包括电子邮件地址、用户名、全名、国家名、随机生成的密码字符串、与支付相关的数据、用户的“Premium”状态和相应的截止日期。在论坛发帖后,科技媒体CyberNews也发现了这一点被盗数据包括设备序列号、电话类型和制造商信息、设备id和设备IMSI号码。

据CyberNews报道,这些数据来自“公开可用的数据库,由于开发人员在使用默认数据库凭证,VPN提供商将这些数据库置于易受攻击的位置。”

过去的VPN错误

最近VPN应用数据泄露的不幸事实是,这种类型的数据事故并不是什么新鲜事。

2019年,流行的VPN提供商NordVPN证实TechCrunch遭受了破坏前一年。据TechCrunch:

NordVPN告诉TechCrunch,其一个数据中心在2018年3月被访问。NordVPN发言人提利尔(Laura Tyrell)说,我们租用服务器的芬兰数据中心之一在没有授权的情况下被侵入。

攻击者利用数据中心供应商留下的不安全远程管理系统,获得了对活跃了约一个月的服务器的访问权限;NordVPN表示不知道存在这样一个系统。”

NordVPN通知Malwareb必威平台APPytes,其客户的数据没有受到影响,被入侵的服务器没有包含任何用户活动日志或任何其他可以链接到特定用户的信息。

除了NordVPN事件外,去年7月,七家VPN提供商被发现在网上泄露了1.2兆兆字节的用户隐私数据一份由网络安全研究人员在vpnMentor发布的报告.报告称,被曝光的数据属于多达2000万用户。这些数据包括电子邮件地址、明文密码、IP地址、家庭地址、手机型号、设备id和互联网活动日志。

vpnMentor调查的7家VPN提供商是:

  • 不明飞行物VPN
  • 快VPN
  • 免费VPN
  • 超级VPN
  • Flash VPN
  • 安全的VPN
  • 兔子VPN

vpnMentor的研究人员还解释说,有充分的理由相信这7个应用程序都是由同一个开发者开发的。在分析这些应用程序时,vpnMentor发现,所有这些应用程序共享一个共同的elastic搜索服务器,托管在相同的资产上,共享同一个单一的支付对象——dreamfii HK limited,并且至少有三个vpn在其网站上共享了类似的品牌和布局。

最后,报告还强调了一个事实,即所有7个应用程序都声称没有记录用户活动的“日志”。尽管如此,vpnMentor表示,它“在(应用程序的)共享服务器上发现了多个互联网活动日志实例。”

报告还说:“我们查看了每个VPN的详细活动日志,暴露了用户在使用VPN和未加密的纯文本密码时的个人信息和浏览活动。”

因此,这些应用不仅没有兑现自己的承诺,而且还收集了大多数用户没有预料到的额外用户数据。毕竟,大多数消费者可能会理所当然地认为这是一个避免收集的承诺一些可能敏感的数据将扩展到承诺不收集其他类型的数据。

但根据vpnMentor的说法,事实并非如此,这明显违背了用户的信任。

让我们换一种说法:

想象一下,你选择了一个承诺永远不会将你的音频记录上传到云端的婴儿视频监控器,结果却发现它不仅将这些记录发送到一个不安全的服务器,而且还会为你的宝宝拍照并将这些照片发送出去。

应该信任哪个VPN ?

你对VPN提供商的信任是至关重要的。

记住,VPN可以帮助保护你的流量不被你的互联网服务提供商看到,这可能是一个主要的电信公司,也可能是一所大学或一所学校。VPN还可以帮助保护你的数据不受政府的要求。例如,如果你在另一个政府严格得多的国家做调查工作,VPN可以帮助你混淆你的互联网活动与那个政府,如果它对你感兴趣。

不过,这里需要注意的重要一点是,VPN只是作为查看数据的人的替代品。当您使用VPN时,不是您的ISP或有限制的政府查看您的活动,而是VPN本身。

那么,你该如何找到一个值得信赖的、能够真正保护你在线活动的VPN提供商呢?以下是一些指导方针:

  • 阅读可信的第三方评论.以上应用中的许多问题都是由优秀的第三方评论者发现的。在选择VPN提供商时,要依赖一些可信的渠道,如Tom 's Guide、TechRadar和CNET。
  • 确保VPN提供商有客户支持联系人.vpnMentor调查的几个VPN应用都没有明确的联系方式。如果你正在使用一种产品,你就应该得到可靠的、易于获得的客户支持。
  • 检查VPN的隐私策略.正如我们前面所了解到的,隐私政策并不能保证实际的隐私保护,但公司对隐私政策的处理方式可以让我们了解公司的想法,以及它有多在乎自己的承诺。
  • 小心免费的vpn就像我们上周写的那样在美国,免费的vpn通常需要付出巨大的代价,包括恼人的广告和偷偷收集和出售你的数据。
  • 考虑一个由你已经信任的公司创建的VPN.更多的在线隐私和网络安全公司正在提供VPN工具,以补充他们现有的产品套件。如果你已经信任这些公司中的任何一家,比如Mozilla, Ghostery, ProtonMail,或者,是的,必威平台APP-那么也有充分的理由相信他们的VPN产品。

这是一个复杂的网络世界,但有了正确的信息和正确的前瞻性研究,你可以保持安全。