7个香港免费VPN被爆泄露用户隐私，1.2TB上千万条用户个人信息在线公开

有时候需要访问一些不存在的网站和下载东西的时候会用到VPN服务，除了收费的以外，还不乏有一些免费的VPN服务，但免费的同样意味着危险，这不，有安全专家就在网上曝出了7个香港免费VPN，将使用用户的个人信息，访问记录、真实IP等暴露在一个公开的服务器上。

发现问题的是一个国外的安全公司「Comparitech」，他们在一款「UFO VPN」中发现，这个VPN服务公司将用户的Log和API访问记录等信息在网络上公开，而且不需要输入密码和任何身份信息验证就能查阅这些内容。

经了解该公司总部在香港，UFO VPN在Play商店安装下载量超过1000万。安全公司表示，每天有超过2000万个条目被添加到Log中，而UFO VPN恰巧在其网站上拥有2000万用户，数据量高达894GB。

这些被暴露公开的用户信息条目中包括：

1. 连接日志、访问量和访问的站点；
2. 真实IP地址；
3. 网络服务供应商（ISP）；
4. 真实定位；
5. 设备类型、编号；
6. 手机型号、应用程序版本；
7. 用户网络连接；
8. 电子邮件、家庭住址；
9. 纯文本密码等；

要知道VPN服务一般对外宣称都是“无日志”的，不会保留任何用户活动数据，但现在却发现如此之大的数据存在且在线公开。

这一问题被公布在网上之后，美国VPN服务点评网站VPNmentor在也表示这一问题好像不单单在UFO VPN上出现，总共有7款免费VPN服务：UFO VPN、FAST VPN、Free VPN、Super VPN、Flash VPN、Secure VPN和Rabbit VPN存在该问题，而且他们都说自己的VPN服务是“无日志”的，每个服务都拥有1万~100万的安装下载量，这些VPN服务加起来暴露的数据量高达1.2TB。

而且有很多证据指向这7个免费VPN服务作者都是同一人：

1. 这些VPN服务皆共享一个通用程式码和基础架构的White Label VPN；
2. 这些VPN服务都共享在一个公用的Elasticsearch伺服器；
3. 这些VPN服务都只有一个相同的收款人：Dreamfii HK Limited；
4. 这些VPN服务中有三个官网几乎一摸一样；

安全专家之后和香港VPN供应商联系后，在7月15日将在线公开的服务器加上了保护措施，目前在Play商店只有Rabbit VPN被下架，其他程序仍然可以下载。

钉子在这里提醒大家，使用VPN服务一定要选择可信任来源，切勿下载一些不可靠的程序，不然你在网络上的每一步操作都会被记录保存，成为别人查阅的数据资料。

原文始发于微信公众号（黑白之道）：7个香港免费VPN被爆泄露用户隐私，1.2TB上千万条用户个人信息在线公开