近日有一名黑客声称,在使LimeVPN网站下线之前,已经窃取了该公司的整个客户数据库。(据Threatpost证实,在该消息发布时,LimeVPN网站确实已经瘫痪)。据PrivacySharks称,被盗记录包括用户名、明文密码、IP地址和计费信息,随后研究人员补充称还包括LimeVPN用户的公钥和私钥。
LimeVPN在其发布的一篇内容中表示:“黑客告诉我们,他们拥有每个用户的私钥,这是一个严重的安全问题,因为这意味着他们可以轻松解密每一个LimeVPN用户的流量。”
专家表示,解密这一可能性的存在令人担忧,由于VPN涉及所有用户的网络流量,这对攻击者来说是一座潜在的信息金矿。
这位网名为“slashx”的黑客最初表示,该数据库中有10000条记录,价格为400美元,随后在第二天(当地时间周三)提高了这一数字。Slashx告诉研究人员,此次入侵是通过安全漏洞实施的。随后,在当地时间周四,LimeVPN因感染恶意软件而下线。
LimeVPN向研究人员证实了漏洞
一位PrivacySharks的发言人告知媒体,LimeVPN证实了该事件的真实性,而窃取数据的黑客也声称对LimeVPN网站瘫痪负责。另外,RestorePrivacy公司也证实了此次泄露事件,并指出LimeVPN在和他们的沟通之中承认了其备份服务器被黑了。
随后,有媒体联系了LimeVPN,但没有得到任何回应。
关于被窃取的数据分析结果
当分析slashx提供的可用样本数据时,RestorePrivacy研究人员注意到,购买服务的用户交易细节是真实的(如金额和支付方式),但实际的银行卡数据或银行信息不包括在内。该公司指出:“这是因为VPN使用了名为WHMCS的第三方支付。然而,黑客声称通过攻击LimeVPN已经获得了整个WHMCS数据库。”
另外,两家公司都发现,样本数据中的一些交易时间最晚截止到本周,其中包括当前用户的全名。
PrivacySharks的安全主管对媒体表示:“尽管LimeVPN不是像Surfshark或NordVPN那样的大型提供商,但它的整个数据库被窃取的事实引发了VPN提供商的安全问题。尽管包括LimeVPN在内的大多数VPN公司采用了不记录日志的政策,但如果出现安全漏洞,像电子邮件地址和支付信息等可识别数据仍可能被窃取和出售。”
VPN的无日志服务因该事件遭质疑
与许多其他提供商一样,LimeVPN宣传的是一种无日志服务,这意味着它不会跟踪用户或保存用户的个人数据。但研究人员表示,该事件中被窃取的记录和数据库的存在本身就对这一主张提出了质疑。
“从我们提供的数据来看,并不完全清楚LimeVPN是否在收集用户的使用或连接日志,”RestorePrivacy称。
PrivacySharks也有类似的看法:“LimeVPN的无日志政策也将受到质疑,因为这次大规模的数据泄露可能会导致一些用户质疑该公司实际存储了多少他们的数据。如果没有对供应商隐私政策的独立审计,‘无日志’这一说法就没有多大分量,而且目前的情况会引起客户的大量怀疑。”
LimeVPN目前仍没有回应媒体关于其日志策略的查询。
对于创建带有个人信息的在线账户应保持警惕
就像最近的LinkedIn数据抓取事件一样,被收集的信息可能被用来实施各种社交工程攻击,包括不断增加的网络钓鱼攻击等。PrivacySharks指出:“黑客可以利用信息建立个人档案,从而更容易找到更多细节,导致身份窃取、欺诈或诈骗。”“出于这个原因,在创建个人信息在线账户时保持警惕是很重要的。”
京公网安备 11010802033237号
