天上不会掉馅饼:三款安卓 VPN 的 2100万用户数据惨遭泄露
我们很久没更新行业信息,但我们不能不说一下最近的消息。
据前几天 CyberNews 报道,2100万用户的数据在一个很火的黑客论坛上被出售。黑客窃取了三个适用于安卓系统 VPN 服务的数据,包括 SuperVPN、GeckoVPN 和 ChatVPN。你也许听说过(或安装过)这些 VPN 。在谷歌商店 SuperVPN 有1亿+的下载,GeckoVPN 有1000万下载,ChatVPN 有5万下载。
在一定程度上,可以说这些 VPN 很火的原因是,用户可以免费使用大部分的功能。谁不喜欢免费或免费增值服务呢?但你应该已意识到天上不会掉馅饼。让我们分析究竟发生了什么事情,以及为什么这种泄露极其危险。
在论坛上可出售什么
论坛上贴信息的作者出售三个档案。依其申述,其中有两个档案包含以下数据:
- 邮件地址
- 用户名
- 全名
- 国家名称
- 随机生成的密码字串
- 与支付有关的数据
- 高级会员身份和其到期时间
七个月前有七个声称不保留日志记录的 VPN 泄露了 1.2 TB 的私人数据。在倒霉的 VPN 列表中也有 SuperVPN。如果你偶尔有阅读与网络安全有关的新闻,你可能已听说过这个名称。
根据第二个档案的样本可判断,被泄露的数据包含于用户设备有关的详细信息:
- 设备序列号
- 手机类型和生产商
- 设备 ID
- 设备 IMSI 号
不推荐使用记录你数据的(免费) VPN 的原因
假如黑客确实暴露了这些数据,那么三家在上述提到的 VPN 提供商收集的用户私人信息记录比其隐私政策规定的要多得多。
SuperVPN 隐私政策
理论上,建立 VPN 的主要原因是加密网络流量并保护用户隐私安全,使其免受互联网服务提供商 (ISP)监视,政府审查或黑客攻击。如此看来 SuperVPN、GeckoVPN 和 ChatVPN 根本没有履行其关键使命,而使用户隐私遭受危险。
为何数据泄露很危险
黑客能滥用 VPN 服务保留的用户私人信息以进行钓鱼攻击和 MITM(中间人攻击)攻击。是指攻击者窃听受害者之间的私有通信并试图更改截取的信息,获取有用的信息并将用户重定向到其它网站(比如恶意网站)。如用户的通讯被拦截,用户的信用卡和其它个人敏感信息都将受到威胁。
这次泄露急报证明,使用不可靠的 VPN 会让你付出惨重的代价。如你不想成为此类情况黑客的下一个受害者,那么建议你千万不要在隐私安全上走捷径,求“省钱”。
首先,你要使用可靠的 VPN。付费版或免费增值的版本(免费但设有大部分功能,你仍需要购买订阅,才可以使用高级功能)。这当然不是唯一的检验标准,但是可以快速粗略判断服务可靠度。
每一个 VPN 服务商都要为其用户流量付款。用户越多,VPN 流量的费用越高。那么接着有个问题:如果 VPN 是免费的或极便宜的话,它如何覆盖其运营开支呢? 正如一句名言所说,“如果你没有为产品付钱,那么,你就是产品。”
我们当然为大家推荐 AdGuard VPN。试用适用于安卓、iOS 的 VPN 和用于 Chrome、Firefox 和 Edge 的插件。为了使 VPN 连接达到最高安全水准,保护用户免受数据泄露的风险,我们使用属于自己的 VPN 协议、AES-256 加密、Kill Switch 和其它高级技术。
其次,我们推荐仔细选择好用的密码管理器。这比在不同平台上使用同一个密码登录许多帐号(没错,千万别这么做)更加安全可靠。这里或这里你可以查看最近你的电子邮件地址的密码是否被泄露了。
再次,请启用两步验证(2FA)。额外保护并不会成为你的负担。请注意,2FA 也可用于保留你的授权码的 AdGuard 个人帐号。在这里可启用两步验证。
