由于发生了COVID-19危机,越来越多的人不得不在家工作,于是网络安全问题成为了疫情期间的重要议题。
然而,最新的研究发现,⚠️ 绝大多数顶级VPN网站正在记录其用户的一举一动,并可能泄露其数据。
VPNpro 分析了114个 VPN,结果发现其中102个网站具有跟踪器,其中26个具有10个或更多跟踪器。这些跟踪器中有许多涉及出售给第三方,它们以不尊重用户隐私权而闻名。
VPNpro 已经确定了34种对隐私构成威胁的跟踪器,其中包括 Taboola,Zendesk,Adroll,BlueKai 和 OpenX。
⚠️ 更令人担忧的是,将近四分之一的VPN网站都在使用会话重播脚本(类似于屏幕录像)来记录用户的在线活动。
以下是详细报告。
当您考虑网络安全工具时,可能会直接想到防病毒程序和VPN。使用VPN的原因是它们能够绕过地理位置限制,并可能为用户提供最大程度的安全性和隐私性。至少人们是这么认为的。
因此,当你那些发现自己最喜欢的VPN实际上根本不尊重其用户的隐私时,将是一个巨大的错愕。
我们的研究表明,VPN网站与其他流行网站非常相似,有时甚至比其他流行网站更糟糕。
在我们分析的114个VPN中,有102个网站上装有跟踪器,其中26个网站上有10个或更多跟踪器。这些跟踪器中有很多涉及第三方。
更糟糕的是,他们使用会话重播脚本:平均每4个VPN网站中就有近1个在录制有关每个用户如何浏览其网站、他们单击什么、搜索什么、输入什么等等一切动作的视频。
幸运的是,情况还不是很糟糕:有13个网站上完全没有跟踪器,而48个网站上有4个或更少的跟踪器。
请记住,制作这些跟踪器是为了使它们可以窥探您的在线行为,并随时随地跟踪您。即便只有一个跟踪器也意味着没有任何隐私性和匿名性。
会话重播脚本的危险
每当您访问使用会话重播脚本的网站时,都可能会本记录您的一举一动。会话重播脚本允许网站所有者、营销人员、销售人员等查看用户如何与其网站进行交互。
我们发现,有26个VPN网站在其站点上使用会话重放脚本,其中一个是 Avast SecureLine VPN,它甚至使用了3种不同的会话重播工具来记录用户。
⚠️ 从本质上讲,这些工具可以记录您访问其网站时的所有活动,包括您单击的内容,搜索的内容,在任何表格中输入的内容 —— 甚至在单击“提交”之前输入的内容,以及其他任何内容。
这些会话重播是您在线行为的视频记录。以下是使用一种领先的会话重播工具 Hotjar 演示监视者可以看到什么的录像:
如果您觉得这还不够令人毛骨悚然,那么普林斯顿的安全研究人员所发现的内容可能更刺激:
“第三方重播脚本收集页面内容可能会导致敏感信息 —— 例如病历、信用卡详细信息、以及页面上显示的其他个人信息 —— 作为记录的一部分泄漏给第三方…… 这可能会使用户遭受身份盗用、在线欺诈、和其他不良行为的侵害。在结帐或注册过程中收集用户输入同样如此。”
尽管某些会话重播工具可以编辑(隐藏)用户在被记录时输入的信息,但是并非所有工具都能做到这一点。
⚠️ 一些密码可以清楚地被看到,并且很多敏感数据也可能泄漏。
研究人员创建了一个表格,其中显示了他们的发现,实心圆圈表示数据已被排除(已编辑),半实心圆圈表示等效的掩蔽,而空圆圈表示数据已直接发送:
研究人员发现,包括 Yandex,Hotjar 和 Smartlook 在内的一些公司都干这种事。由于HTTP页面未加密,这为MITM(中间人)攻击提供了很大的机会,黑客可以轻松地窃取所有记录数据。
跟踪器和侵犯隐私权
但是,跟踪器存在的问题不仅仅是会话重播脚本的漏洞和缺乏隐私这么直观。
跟踪器有很多不同的类型,具有不同程度的杀伤力。一些跟踪器将收集用户数据,但不会共享匿名/汇总数据以外的任何内容,而另一些跟踪器则不清楚它们共享的内容。有些甚至是良性的,因为它们收集数据但共享最少,或者对于网站正常运行是必不可少的。
但是,有些跟踪器很糟糕,会与第三方共享可识别性个人身份信息或匿名数据。
我们发现了34种对您的隐私非常不利的跟踪器。这些跟踪器包括 Taboola,Zendesk,Adroll,BlueKa i和 OpenX。
OpenX 的大量数据收集
以OpenX为例。根据其隐私政策,OpenX 宣称自己是 “程序化广告” 的全球领导者,它可能会收集您的年龄、性别、婚姻状况、电话信息、IP地址、甚至您的确切GPS位置:
他们甚至还可以出于各种目的与他人共享所有数据。
过去 OpenX 就曾经多次被指控侵犯消费者的隐私。然而这孙子一直活跃。
BlueKai 的声誉不佳
OpenX 可不是特例。这些风险较大的跟踪器大多数都犯有使用相同业务技术的罪行。
以 BlueKai 为例,该公司于2014年被 Oracle 收购。BlueKai 屡次被提及因为其潜在的侵犯隐私行为。它甚至在隐私国际组织的GDPR投诉中被点名。
在研究 BlueKai 和其他数据经纪人的学术报告中,研究人员提到了数据经纪人在用户隐私方面的三个主要问题:
数据存储的安全性不足
跟踪者将数据出售给其他实体
用户数据被意外暴露
第二个问题是最要命的。由于像 BlueKai 这样的数据经纪人通过收集和出售用户数据来赚钱,因此存在很大的风险。
简单说,尽管 BlueKai 可能会在收集您的数据时声明他们“尊重您的隐私”,但他们很可能会将这些数据出售给 *根本不关心您隐私的公司*。
这对VPN用户意味着什么
从本质上讲,尽管您应该期望这些服务可以提供更高级别的隐私和匿名性(基于这些VPN公司本应提供的功能),但是,实际上,您在这里所能找到的安全感是非常非常少的。
这些VPN网站使用的营销策略与他们经常指责的寡头公私(例如 Facebook)完全相同。这就好比说 Facebook 对您的隐私不利,同时又说 Facebook 对您的客户有利。
你知道广告技术公司和数据经纪人一直在收集并出售您的私密数据,这就是监视资本主义,但您现在必须了解的是,这些VPN网站也没有什么特别的安全和匿名性。
幸运的是,有一个简单但并非完美的解决方案:
使用扩展程序和工具(例如 Ghostery),可以帮助阻止许多此类跟踪器和会话重播脚本
使用默认的隐私浏览器,例如 Brave
严重限制您在这些网站上的操作,或者完全避免使用它们。
您可以使用更多的相关方法来限制与这些网站以及所有网站和浏览器共享的数据类型,但是我们上面列出的那些选项对于VPN网站应该适用。
最后,说点儿积极的东西。我想列出20个VPN网站,这些网站是私密性最强的,它们相比下包含最少的跟踪器:
12VPN — 0
AirVPN — 0
ConfirmedVPN — 0
CryptoStorm — 0
Disconnect VPN — 0
DotVPN — 0
Mullvad — 0
ProtonVPN — 0
Psiphon — 0
Thunder VPN — 0
VIP72 VPN — 0
VPN.ac — 0
Zorro VPN — 0
Celo VPN — 1
Hideman VPN — 1
IVPN — 1
Seed4.Me — 1
VPNReactor — 1
Windscribe — 1
ZenVPN — 1
那么,最受欢迎的VPN怎么样呢?
如果您在这里没有找到自己喜欢的VPN提供商(无论是 NordVPN,ExpressVPN 或者 PIA),那可能是因为它们既没有最多或风险最高的跟踪器,也不是最少的跟踪器。
以下是20个最受欢迎的VPN提供商的列表,以及它们在总跟踪器、风险最高的跟踪器、和会话重播脚本方面的表现:
最后啰嗦一句废话,给那些尚且不熟悉VPN的中国用户:VPN不等于“翻墙”。我们在 “安全工具箱” 中推荐的VPN是基于安全防御方面的考虑,而非翻墙。
注意安全!这是最基本的。⚪️
Top VPNs are recording users and potentially leaking their data when they visit their website