更多

    號稱零 log 香港 VPN 洩 2,000 萬用戶資料任人睇

    Eric Chong
    Eric Chong
    商業・科技・創業・編輯

    IT 招聘廣告藏笑話

    招聘廣告除了介紹工作性質,大家的著眼點往往放在技能和年資要求。求職者只要符合資格便寄出履歷申請有關職位。不過,招聘IT人的廣告,附帶技術的年資要求就容易鬧出笑話,最近有兩個例子。

    匯立銀行開張 用數據設計金融產品

    自金管局發出 8 張虛擬銀行牌照,一年後陸續開始營業。唯一屬本土公司的匯立銀行( WeLab Bank )正式開張,成為香港第三間虛擬銀行。該銀行專做消費者業務,首階段的吸引客戶優惠包括 8% 消費回贈的扣帳卡、最多 4.5 厘的 GoSave 定期服務,並用數據設計產品。

    匯款到離岸戶口必備 Transferwise 估值升上 50 億美元

    匯款到海外手續費甚貴,近期愈來愈多港人開設離岸戶口保障資產安全,大多經 Transferwise 轉帳,省下大筆成本。這間英國金融科技創業公司最近完成新一輪股權交易,以 50 億美元估值給股東售出 3 億 1,900 萬美元的股權,較去年融資的估值再升 43% 。

    港區國安法實施前,本港 VPN 用戶數量急增。使用 VPN ,本以為保障用戶上網私隱。不過卻發生用戶私隱洩露事件,更有 7 間香港 VPN 服務商牽涉其中,所提供的無記錄 VPN 服務,卻將逾 2,000 萬用戶的資料放在雲端伺服器任人取閱。

    vpnMentor 研究團隊發現,有 7 間 VPN 服務商將用戶紀錄儲存在雲端伺服器,而且未有任何密碼和加密保護,令超過 2,000 萬用戶的個人資料任人存取。

    出事的 VPN 服務商包括:

    • UFO VPN
    • FAST VPN
    • Free VPN
    • Super VPN
    • Flash VPN
    • Secure VPN
    • Rabbit VPN

    七間 VPN 服務商實際上是由一間香港公司經營,提供宣稱無記錄( no-log ) VPN 服務。不過,儲存 1.2TB 用戶資料的雲端伺服器 Elasticsearch 未有任何保護。用戶的個人資料包括:

    • 全名
    • 住址或工作地址
    • 用戶實際 IP 地址、連線的 VPN 伺服器地址
    • VPN 帳戶身分(電郵、用戶名稱、密碼)

    同時記錄用戶的網絡活動數據:

    • 曾瀏覽網站
    • IP 地址
    • ISP
    • 實際位置
    • 裝置類型
    • 程式版本
    • 手機型號

    雖然是香港的 VPN 服務商,但用戶來自全球各地。 vpnMentor 列出幾個用戶資料,包括來自伊朗、蘇丹、孟加拉等地,甚至有伊朗用戶瀏覽過 pronhub 的記錄。

    來自伊朗的 FAST VPN 用戶。

    來自蘇丹的用戶。

    美國用戶在 Paypal 付款記錄。
    美國用戶在 Paypal 付款記錄。

    VPNMentor 表示他們曾經聯絡香港電腦保安事故協調中心( HKCERT ),得到了以下回應:

    我們已經通知了你所提到 IP 的 ASN 作出跟進。由於 IP 所在地的國家是美國,而你所提供的記錄不能顯示資料與香港有關,請你聯絡 US-Cert 尋求協助,或提供更多資料顯示資料洩漏事件與香港有關?

    由於涉事 VPN 供應商的伺服器位於美國,即使有證據顯示涉事 VPN 服務商是由香港公司經營, HKCERT 似乎也無法為用戶提供幫助。

    雖然不少 VPN 都宣稱不會保存用戶活動紀錄,不過實際有多少 VPN 服務供應商真的如此實行?現時有一些 VPN 服務供應商,定期聘請獨立第三方審計員去審查系統有沒有遵守不保留紀錄原則,這對用戶會起到一定保障作用。

    您會感興趣的內容

    相關文章