単一のオープンサーバーには、香港を拠点とするさまざまなVPNサービスのユーザーの名前、パスワード、電子メールアドレス、および自宅のアドレスが一覧表示されていました。
Σそのセキュリティ研究者によると vpnMentor、ユーザーアクティビティを記録しないと主張するXNUMXつのVPNサービスは、まさにそれを実行し、この情報をオンラインで漏洩することが判明しています。
今月初め、vpnMentor 彼は発見した 以下を含むXNUMXつの異なる香港ベースのVPNサービスのユーザー情報を含む単一のオープンサーバー UFO VPN、高速VPN、および無料VPN.
合計で、サーバーには、名前、パスワード、電子メールアドレス、マルチユーザーの自宅アドレスなど、1,2TBのデータが含まれていました。 しかし、本当に厄介な発見は、ユーザーがどのサイトにアクセスし、どのユーザーID、IPアドレス、およびデバイスを介してアクセスしたかを明らかにすることができる、保存されたアクティビティログでした。
ほとんどのVPN加入者はプライバシーを保護するためにそうしているので、これは立派なイベントです。 ただし、公開されたサーバーは、事実上誰にでも、最大20万人のユーザーのアクティビティを追跡する簡単な方法を提供しました。
影響を受けるすべてのプロバイダーは、「登録なしで」VPNサービスを提供すると主張しています。つまり、ユーザーのアクティビティの詳細を記録することはありません。 ただし、公開されたサーバーは、これが当てはまらないことを示しています。 VpnMentorは次のように述べています。「場合によっては、そのようなコンテンツの表示が禁止され、罰せられる国で、ユーザーが違法なWebサイトにアクセスしたことがあります。」
調査によると、公開されたサーバーは、7つの異なる名前のVPNサービスを提供している会社に属しているようです。 VpnMentorは5月15日に影響を受けるプロバイダーに連絡しましたが、公開されたサーバーが保護されるまで、最終的にXNUMX月XNUMX日に行かなければなりませんでした。
UFOVPNは調査員に次のように語っています。COVID-19によるスタッフの変更により、サーバーファイアウォールルールのバグはすぐには見つかりませんでした。これは、違反の潜在的なリスクにつながる可能性があります。 しかし今は修正されました。」 UFO VPNはまた、サーバー上のすべての情報は「匿名」であり、ユーザーのネットワークのパフォーマンスを分析するために使用されただけであると述べています。
VpnMentorは、これは当てはまらないと言っています。 調査結果を検証するために、研究者はUFO VPNアプリケーションをテストし、ユーザーアクティビティログが公開されたサーバーにリアルタイムで表示されることに気づきました。 彼ら自身が次のように述べています。さらに、アカウントの作成に使用したユーザー名とパスワードが明確に表示され、クリアテキストとしてログに保存されました。
この事件は、一部のVPNプロバイダーが単なる詐欺師であることを浮き彫りにしています。 セキュリティ研究者のケネス・ホワイト 彼はツイートした教訓:商用VPNサービスは嘘をついています。 多くの嘘。」
「ログなし」のVPNサービスでは、オープンなElasticsearchサーバーで、プレーンテキストのパスワード、地理情報、IPなど、何百万ものユーザーログが公開され、通知を受けてから閉じるまでに2週間以上かかりました。
教訓:商用VPNサービスは嘘をつきます。 たくさん。
— ケン・ホワイト (@kennwhite) 2022年7月11日
UFO VPNまたは他のXNUMXつのプロバイダーに加入している場合は、より良い代替手段を見つけることをお勧めします。 また、一部のVPNプロバイダーは、「ログなし」ポリシーを実装していることを示すためにセキュリティチェックを通過しました。 その他 協力する VPN業界がユーザーのセキュリティとプライバシーのためのベストプラクティスを使用することを保証するための「信頼イニシアチブ」で。