“严格无日志策略”的VPN暴露了数百万个用户日志文件

2020-07-18 21:06:01

属于VPN服务UFO VPN的一个不受保护的数据库在网上暴露了两个多星期。数据库中包含2000多万条日志,其中包括以纯文本存储的用户密码。

UFO VPN免费和付费服务的用户都受到了数据泄露的影响,这是由比较技术的安全研究团队发现的。尽管总部位于香港的VPN提供商声称有严格的无日志政策,而且收集的任何数据都是匿名的,但比较技术公司表示,根据数据库的内容,用户信息似乎根本不是匿名的。

安全研究人员在2020年7月1日发现了这一点,团队负责人鲍勃·迪亚琴科立即通知了UFO VPN。该公司花了整整两周的时间才关闭了暴露的数据库,并将延迟归咎于冠状病毒大流行:

由于新冠肺炎引起的人事变动,我们没有立即发现服务器防火墙规则中的漏洞,这将导致潜在的被黑客攻击的风险。现在它已经修好了。

似乎托管数据的服务器在6月27日首次被搜索引擎Shodan.io编入索引,这意味着数据暴露了将近三周。目前还不知道是否有恶意行为者在数据可用时访问了它。比较技术公司说:

目前还不清楚有多少用户受到影响,但我们的发现表明,所有在暴露时连接到UFO VPN的用户可能都会受到威胁。UFO VPN声称其网站上有2000万用户,数据库每天暴露超过2000万条日志。

总共暴露了894 GB的数据,API访问记录和用户日志包括:

看起来像是将广告插入到免费用户的Web浏览器中的域的URL