港區國安法實施前,本港 VPN 用戶數量急增。使用 VPN ,本以為保障用戶上網私隱。不過卻發生用戶私隱洩露事件,更有 7 間香港 VPN 服務商牽涉其中,所提供的無記錄 VPN 服務,卻將逾 2,000 萬用戶的資料放在雲端伺服器任人取閱。
vpnMentor 研究團隊發現,有 7 間 VPN 服務商將用戶紀錄儲存在雲端伺服器,而且未有任何密碼和加密保護,令超過 2,000 萬用戶的個人資料任人存取。
出事的 VPN 服務商包括:
- UFO VPN
- FAST VPN
- Free VPN
- Super VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
七間 VPN 服務商實際上是由一間香港公司經營,提供宣稱無記錄( no-log ) VPN 服務。不過,儲存 1.2TB 用戶資料的雲端伺服器 Elasticsearch 未有任何保護。用戶的個人資料包括:
- 全名
- 住址或工作地址
- 用戶實際 IP 地址、連線的 VPN 伺服器地址
- VPN 帳戶身分(電郵、用戶名稱、密碼)
同時記錄用戶的網絡活動數據:
- 曾瀏覽網站
- IP 地址
- ISP
- 實際位置
- 裝置類型
- 程式版本
- 手機型號
雖然是香港的 VPN 服務商,但用戶來自全球各地。 vpnMentor 列出幾個用戶資料,包括來自伊朗、蘇丹、孟加拉等地,甚至有伊朗用戶瀏覽過 pronhub 的記錄。
VPNMentor 表示他們曾經聯絡香港電腦保安事故協調中心( HKCERT ),得到了以下回應:
我們已經通知了你所提到 IP 的 ASN 作出跟進。由於 IP 所在地的國家是美國,而你所提供的記錄不能顯示資料與香港有關,請你聯絡 US-Cert 尋求協助,或提供更多資料顯示資料洩漏事件與香港有關?
由於涉事 VPN 供應商的伺服器位於美國,即使有證據顯示涉事 VPN 服務商是由香港公司經營, HKCERT 似乎也無法為用戶提供幫助。
雖然不少 VPN 都宣稱不會保存用戶活動紀錄,不過實際有多少 VPN 服務供應商真的如此實行?現時有一些 VPN 服務供應商,定期聘請獨立第三方審計員去審查系統有沒有遵守不保留紀錄原則,這對用戶會起到一定保障作用。