數個VPN應用程式洩露用戶資料

原本是保護用戶私隱的VPN程式,因為伺服器設定上的小錯失,導致用戶的資料外洩,當中涉及SuperVPN、GeckoVPN和ChatVPN,用戶的資料已經在黑客討論區上出售。

3個數據庫2100萬用戶資料網上出售

根據海外媒體報導,在不公開名字的知名黑客討論區內,被盜的3個VPN應用程式資庫正在放售,當中含有2100萬個用戶資料,由SuperVPN、GeckoVPN和ChatVPN三個Android應用程式流出。報導期間SuperVPN在Google Play上累計1億次下載,GeckoVPN也超過100萬,ChatVPN則有5個次下載記錄。

出售的資料包括電郵地址、密碼(SuperVPN和GeckoVPN的密碼有遮蔽,ChatVPN則是純文字),也連帶用戶的全名、國家和付費資料,其中一個資料庫更存有序列號碼和ID,至於用戶的IP地址則沒有外洩。

使用預設用戶名稱和密碼惹禍

這次用戶資料外洩並在網上出售的事故,源於攻擊者利用VPN服務供應商設定伺服器的錯誤,令他們能以預設的用戶名稱和密碼存取資料。這次並非SuperVPN成為網絡安全事故的主角,在2020年7月研究人員在VPNMentor發現1.2TB由VPN供應商外洩的記錄,當中包括SuperVPN,其餘兩家供應商則是首先涉及網絡安全事故,而信譽良好的Have I Been Pwned也確定有今次的事故。

虛擬私人網絡VPN是安全瀏覽網絡的基本技術,但並非所有VPN都有相同的強力效能,保持可靠和關注用戶私隱最為重要,關於如何選擇適合的VPN可以參考這篇文章。

資料來源:Kaspersky Blog