香港 7 個 VPN 服務被指外洩用戶數據

全都使用 Elasticsearch 伺服器、收款人也是 Dreamfii HK Limited。

Eric Chan
·1 分鐘文章
SRINAGAR, JAMMU & KASHMIR, INDIA - 2020/02/23: In this photo illustration, a mobile phone user installs a VPN application on his mobile phone in Srinagar. Authorities in Kashmir have filed a police case against social media users under "anti-terror" laws for defying government orders prohibiting the use of social media via Virtual Private Networks. Authorities restored low-speed 2G internet on January 24 - six months after the internet was cut off from the region, but the ban on social media continued. Kashmiris have been using virtual private networks (VPNs) to access blacklisted sites, particularly social media. (Photo by Saqib Majeed/SOPA Images/LightRocket via Getty Images)

因應對於個資保護的意識愈來愈高,近來不少人都會選用 VPN 服務來增加自己的網路匿名性,但如果選錯服務的話,就有可能得不償失、面臨更大的風險。The Register 引述 VPNMentor 的報告指,有 7 家位於香港的 VPN 服務供應商,雖然聲稱有著無記錄政策的保護,但卻被發現其用戶的連線記錄、位置、支付訊息、純文字密碼和網頁活動等的數據,都赤裸裸地在 IoT 搜索引擎 Shodan.io 上外洩 18 日之久,涉及的檔案達 10 億筆,數據量達 1.207TB,這些用戶被駭風險極高。

詭異的是報告中提及的 UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN、Rabbit VPN,這 7 個 VPN 服務都是使用同一個名為 Elasticsearch 的伺服器,而訂閱服務的收款人也是同樣的 Dreamfii HK Limited。其中 UFO VPN 就有回應查詢,表示他們是因為新冠疫情的影響,未能盡快修正問題,並強調他們的記錄只會用在效能分析,而且本應是匿名的。然而在看到這一大批數據之後,顯然這都是謊言了。

是說,如果是真的注意網路個資匿名性的話,選擇 VPN 服務時也需要多作研究,包括參考口碑比較好的大型品牌,這樣才不會徒添風險。