声称零日志策略的VPN公司泄露2000万用户日志

讨论中的VPN公司是由Dreamfii HK Limited拥有的一家总部位于香港的UFO VPN。

也许，网络安全世界中最具讽刺意味的时刻发生在那些承诺保护您的在线隐私的人无法守卫自己的地盘时。我们看到这种情况时有发生，安全公司自己也遭到黑客攻击。

另一个类似的案例最近也出现了，当时香港一家名为UFO VPN的VPN提供商的数据库被曝光，有2000多万用户日志。

由来自比较技术的研究人员于2020年7月1日发现；此次暴露是因为托管在Elasticsearch集群上的数据库没有留下任何密码。

这些数据价值894 GB，据称包括明文密码、IP地址、用户连接的时间戳、会话令牌、设备信息和操作系统以及标签形式的地理信息。

这一点的影响相当危险，因为不仅用户帐户有被恶意行为者接管的风险，而且用户还可以在网上被跟踪。

此外，使用会话令牌，还可以解密某人访问的任何加密数据，从而使整个加密概念在此场景中毫无用处。

正如compitech正确指出的那样，这违反了服务提供商的隐私政策，也违背了它向用户传达的零日志政策的承诺：

在任何情况下，UFO VPN不会在任何平台上收集、监控或记录其虚拟专用网络服务的任何流量或使用情况。

这一事件已报告给UFO VPN，数据库已于昨天7月15日得到安全保护。另一方面，该公司声称，由于某名员工因冠状病毒而被更换，该问题无法在较早前确定，原因如下：

在该服务器中，所有收集到的信息都是匿名的，仅用于分析用户的网络性能和问题，以提高服务质量。到目前为止，还没有信息泄露。

当然，如果该公司所说的话似乎是为了减轻对其声誉的损害，而事实显然表明并非如此。因此，对于未来，该公司是否会改进其安全做法以及有多少用户跳槽仍有待观察。建议提供商的用户立即更改他们的帐户密码，因为他们可能会面临风险。

你喜欢读这篇文章吗？确实喜欢我们在Facebook上的页面，并在Twitter上关注我们。