一個受歡迎的免費VPN服務被指控在網上洩露了超過3.6億條用戶數據記錄。SuperVPN的漏洞包括數量驚人的人們的敏感訊息,包括電子郵件地址、原始IP位址、地理位置記錄、獨特的用戶標識符、對所訪問網站的引用等等。
由於該服務在 Google 和 Apple 應用商店的全球下載量超過1億次,調查該事件的專家認為它應該為用戶 “敲響警鐘”,讓他們知道需要選擇一個值得信賴的VPN服務。
SuperVPN的風險
“隨着世界上越來越多的人關心數據私隱或試圖繞過審查制度,他們經常使用VPN。發現並報告被入侵資料庫的網絡安全研究員Jeremiah Fowler告訴TechRadar Pro,”這是一個最好的例子,說明哪些數據可能被捕獲,與政府共享,或在數據洩露的情況下被曝光。
Fowler發現了一個與SuperVPN應用程式相關的公開暴露的資料庫,其中包含133GB的數據,包括個人用戶訊息,如IP位置、使用的伺服器和獨特的應用程式用戶ID號碼,以及用戶在線活動、設備型號、操作系統和退款請求等細節。
在聯繫了與iOS和安卓VPN應用版本相關的可用電子郵件地址後,該資料庫被關閉,沒有任何解釋。Fowler告訴我們,此舉尤其令人擔憂,因為事實上,SuperVPN應用程式在Twitter上的熱度 “就在上週,巴基斯坦封鎖了社交媒體”。
另一個擔心的原因是看一下SuperVPN背後的所有權。在他為VPNMentor撰寫的報告中,Flower觀察到該應用在兩個不同的應用商店中是如何被列在不同的開發者名下的,儘管有完全相同的名字和兩個非常相似的標誌。
在Google Play上,SuperVPN被歸入SuperSoft Tech。而iOS、iPad和macOS的SuperVPN據說是由青島樂友滬東網絡科技有限公司開發。在洩露的文件中,福勒甚至可以找到另一家名為長沙樂友百川網絡科技有限公司的公司。”他證實,所有跡象都表明青島樂友滬東網絡科技有限公司是暴露SuperVPN用戶數據的公共資料庫的所有者。
兩家公司都沒有回應任何評論請求,也沒有在其網站上提供任何有關其所有權和位置的訊息–福勒認為,此舉引起了 “對這些免費VPN服務的透明度和安全性的擔憂”。這並不是SuperVPN第一次驚動網絡安全專家。2020年,用戶被警告要刪除這個VPN,因為它使百萬VPN用戶面臨黑客攻擊的風險。2016年,SuperVPN也被認定為危險,當時澳洲研究人員發現它是周圍惡意軟件最多的VPN應用之一。