“无日志”VPN泄露数百万用户数据

随着全球新冠疫情的蔓延，社交隔离和远程娱乐办公成为常态，全球用户对VPN的兴趣激增，自今年年初以来，一些商业VPN提供商的用户和流量翻了一番，于此同时VPN相关的安全性问题也日益凸显，一些知名VPN品牌，例如ProtonVPN，NordVPN甚至包括Microsoft，McAfee，ESET，Kaspersky和Symantec等在内的知名网络安全供应商的品牌也被不法分子用来欺骗用户下载间谍软件、流氓软件、勒索软件和数据窃取软件。

与此同时，大量VPN服务存在隐私泄露风险。“不记录用户日志数据”是很多VPN服务商的卖点，但是有很多VPN服务并不能真正做到这一点。

近日，网络安全公司Comparitech 报告（https://www.comparitech.com/blog/vpn-privacy/ufo-vpn-data-exposure/）指出，由于安全性差，UFO VPN的用户信息数据库每天都在泄漏数据，包括：

• 帐号密码
• VPN会话机密和令牌
• 用户设备及其连接的VPN服务器的IP地址
• 连接时间戳
• 地理标签
• 设备和操作系统特征
• 似乎是从中将广告注入到免费用户的网络浏览器中的域的URL

这些数据大部分存储在易于阅读的纯文本文件中，且数据库并未得到保护或加密，甚至不需要密码即可访问。受影响的帐户数量未知，但是所有 UFO VPN用户可能或多或少都存在数据泄漏风险。

目前发现的数据库每天暴露超过2000万用户日志！

更糟糕的是，UFO VPN与许多其他通用的Android VPN应用程序共享相同的代码库和设置 -其中一些安装数量已经超过百万。根据Android Police的报告，这些存在泄露风险的，用户数较多的VPN包括：

• Fast VPN
• Free VPN
• Super VPN
• Flash VPN
• Secure VPN
• Rabbit VPN