“严格无日志策略”的VPN暴露了数百万个用户日志文件

属于VPN服务UFO VPN的一个不受保护的数据库在网上暴露了两个多星期。数据库中包含2000多万条日志，其中包括以纯文本存储的用户密码。

UFO VPN免费和付费服务的用户都受到了数据泄露的影响，这是由比较技术的安全研究团队发现的。尽管总部位于香港的VPN提供商声称有严格的无日志政策，而且收集的任何数据都是匿名的，但比较技术公司表示，根据数据库的内容，用户信息似乎根本不是匿名的。

安全研究人员在2020年7月1日发现了这一点，团队负责人鲍勃·迪亚琴科立即通知了UFO VPN。该公司花了整整两周的时间才关闭了暴露的数据库，并将延迟归咎于冠状病毒大流行：

由于新冠肺炎引起的人事变动，我们没有立即发现服务器防火墙规则中的漏洞，这将导致潜在的被黑客攻击的风险。现在它已经修好了。

似乎托管数据的服务器在6月27日首次被搜索引擎Shodan.io编入索引，这意味着数据暴露了将近三周。目前还不知道是否有恶意行为者在数据可用时访问了它。比较技术公司说：

目前还不清楚有多少用户受到影响，但我们的发现表明，所有在暴露时连接到UFO VPN的用户可能都会受到威胁。UFO VPN声称其网站上有2000万用户，数据库每天暴露超过2000万条日志。

总共暴露了894 GB的数据，API访问记录和用户日志包括：

看起来像是将广告插入到免费用户的Web浏览器中的域的URL