UFO VPN声称零日志策略，泄露2000万用户日志

总部位于香港的VPN提供商UFO VPN在网上公开了一个用户日志和API访问记录的数据库，没有密码或任何其他需要访问它的身份验证。暴露的信息包括明文密码和可用于识别VPN用户并跟踪其在线活动的信息。

鲍勃·迪亚琴科(Bob Diachenko)是比较技术公司安全研究团队的负责人，他揭露了这起泄密事件，这对UFO VPN的免费和付费用户都有影响。在2020年7月1日发现曝光的数据后，他立即向公司发出了警报。

目前还不清楚有多少用户受到影响，但我们的发现表明，所有在暴露时连接到UFO VPN的用户可能都会受到威胁。UFO VPN声称其网站上有2000万用户，数据库每天暴露超过2000万条日志。

在我们向飞碟VPN发送泄密信息两周多后，该公司关闭了数据库，并通过电子邮件回应称，“由于新冠肺炎引起的人事变动，我们没有立即发现服务器防火墙规则中的漏洞，这会导致潜在的被黑客攻击的风险。现在已经修好了。“。

这位发言人说：“我们不会为注册收集任何信息。”“在这个服务器中，所有收集的信息都是匿名的，只用于分析用户的网络性能和问题，以提高服务质量。到目前为止，还没有任何信息泄露。“。[原文如此]。

但根据一些样本数据，我们不相信这些数据是匿名的。我们正在与UFO VPN联系以验证我们的发现，并将相应地更新本文。

我们建议UFO VPN用户立即更改密码，共享相同密码的任何其他帐户也是如此。

数据库总共暴露了近三周。以下是我们知道的情况：

2020年6月27日：托管数据的服务器首次由搜索引擎Shodan.io索引。

我们不知道是否有任何未经授权的人在数据被曝光时访问了它。我们自己的研究表明，黑客可以在易受攻击的几个小时内找到并攻击数据库。

894 GB的数据存储在不安全的Elasticsearch群集中。UFO VPN声称数据是“匿名的”，但根据手头的证据，我们认为用户日志和API访问记录包含以下信息：

看起来像是将广告插入到免费用户的Web浏览器中的域的URL。

这些信息中的大部分似乎与UFO VPN的隐私政策相矛盾，该政策规定：

“我们不跟踪网站以外的用户活动，也不跟踪使用我们服务的用户的网站浏览或连接活动。”

如果不良行为者设法在数据受到保护之前获得这些数据，可能会给UFO VPN用户带来几个风险。

明文密码是最明显、最直接的威胁。黑客不仅可以利用它们劫持UFO VPN账户，还可能对其他账户进行凭证填充攻击。如果在多个帐户上使用相同的密码，则它们都可能被攻破。

IP地址可以用来辨别用户的下落，并证实他们的在线活动。VPN通常用于隐藏用户的真实位置和在线活动。

会话秘密和令牌可用于解密攻击者可能捕获的会话数据。例如，如果攻击者在受损的wi-fi网络上截获通过VPN发送的加密数据，他们可能会用此信息解密该数据。

这次曝光说明了为什么我们例行公事地鼓励读者避免免费的VPN服务，因为这些服务的安全和隐私标准往往低于平均水平。理想情况下，VPN服务不应保留包括IP地址在内的日志。

UFO VPN是一家总部位于香港的VPN提供商，该公司表示，它在其网站上为2000万用户提供服务。它声称有零日志政策和“银行级保护”，尽管可以说事实并非如此。

UFO VPN营销的重点是内容解锁。它承诺可以访问被屏蔽的网站、应用程序和Netflix等地区锁定的流媒体服务。

安全研究员鲍勃·迪亚琴科(Bob Diachenko)领导比较技术公司的安全研究团队，寻找并报告个人数据在网络上泄露的事件。当我们遇到不安全的数据时，我们会立即采取措施通知所有者，以便尽快对其进行保护。

我们调查这类数据事件，以了解数据属于谁、谁可能受到影响、暴露了哪些信息以及可能会产生什么后果。一旦数据得到保护，我们就会发布类似这样的报告，通知可能受影响的用户并提高认识。

我们的目标是遏制恶意访问和滥用个人数据。我们希望我们的报告能够提高网络安全意识，并将可能对最终用户造成的伤害降至最低。