总部位于香港的VPN提供商UFO VPN在网络上公开了用户日志和API访问记录的数据库,而无需密码或任何其他身份验证即可访问它。公开的信息包括纯文本密码和可用于识别VPN用户并跟踪其在线活动的信息。虽然UFO VPN声称不保留任何日志,但仍暴露了有关其服务用户的数百万个日志文件,包括其帐户密码和IP地址。点击此处查看。
UFO VPN声称数据是“匿名”的,但根据现有证据,安全专家认为用户日志和API访问记录包含以下信息:总共公开了894GB的数据,其中包括API访问记录和用户日志:2000万用户。该漏洞由安全研究团队的Bob Diachenko发现。
- 帐户密码为纯文本;
- VPN会话机密和令牌;
- 用户设备及其连接的VPN服务器的IP地址;
- 连接时间戳;
- 地理标签;
- 设备和操作系统特征;
- 似乎是从中将广告注入到免费用户的网络浏览器中的域的URL;