InfoQ Geekathon 大模型技术应用创新大赛 了解详情
写点什么

VPN 正在泄露你的隐私,怎样才能实现“网络自由“?

  • 2020-04-10
  • 本文字数:3453 字

    阅读完需:约 11 分钟

VPN 正在泄露你的隐私,怎样才能实现“网络自由“?


本文最初发布于 VPNpro 的博客,经原作者授权由 InfoQ 中文站翻译并分享。


在考虑对于消费者而言最方便的网络安全工具时,你可能会想到防病毒程序和 VPN。其中,VPN 被用来避开地理位置限制,并为用户提供最大限度的安全和隐私。


所以,当用户发现他们喜欢的一些 VPN 根本不尊重他们的隐私时,他们会感到非常惊讶。


我们的研究表明,VPN 网站与其他流行的网站非常相似,有时甚至更差,这非常令人失望。在我们分析的 114 个 VPN 中,102 个网站有跟踪器,26 个网站有 10 个甚至更多的跟踪器。许多跟踪器涉及到在尊重用户隐私方面名声不佳的第三方,它们可能对用户不利。


更糟糕的是,它们使用了会话回放脚本:近 1/4 的 VPN 网站使用它们来记录每个用户如何使用他们的网站,他们点击什么,他们搜索什么,等等。


幸运的是,情况并非都这么糟糕:有 13 个网站上完全没有跟踪器,有 48 个网站上的跟踪器为 4 个或少于 4 个。


但是,说实话,最后的赞美只是一种安慰。请记住,这些跟踪器是为了跟踪你的在线行为,记录你在互联网上的访问情况。即使在你的网站上只有一个这样的跟踪器,也会让你失去隐私和匿名性。

要点

  • 102 个 VPN 站点有 1 个及 1 个以上的跟踪器,26 个站点有 10 个及 10 个以上的跟踪器

  • 114 个 VPN 站点上有 32 个会话回放脚本

  • 17 个网站有来自第三方的跟踪器,它们的隐私保护措施不够完善

  • 45 个网站有 Facebook 跟踪器,其中 39 个有超过 1 个跟踪器

  • 只有 13 个网站没有跟踪器

关于本研究

为了分析这些网站,我们使用了免费的反跟踪插件 Ghostery。它的数据库中不仅有一个很大的跟踪器列表,而且还提供了指向这些跟踪器隐私策略的链接,以及收集并分享的各种数据的摘要。


除了查看每个 VPN 网站的跟踪器外,我们还查看了这些第三方隐私策略,以确定它们的安全性或风险。


最初的列表中包含了前 120 个 VPN 网站,但是其中 6 个已经下线了。我们分析的 VPN 网站清单来自我们 2019 年的 VPNpro 排行榜。

会话回放脚本的危险之处

当你访问一个使用了会话回放脚本的网站时,你的会话(你的访问)可能会被记录下来。会话回放脚本允许网站所有者、市场营销人员、销售人员等查看用户如何与他们的网站交互。我们发现,有 26 个 VPN 站点在他们的网站上使用了会话回放脚本,其中一个是 Avast SecureLine VPN,它甚至使用 3 种不同的会话回放工具来记录用户的行为


术语“会话回放”源于这些工具具备回放用户会话的能力。实际上,这些工具可以记录你在访问他们网站时的所有活动,包括你点击了什么、你搜索了什么、你在任何表单中输入了什么(甚至在你点击“提交”之前),以及你在网上做的其他任何事情。


我们所说的记录,指的是真正的录制:这些会话回放是你的在线行为的视频记录。如果这听起来还不够恐怖,普林斯顿大学安全研究人员还发现了以下内容:


在记录过程中,第三方回放脚本收集的页面内容可能导致页面上显示的敏感信息(如医疗记录、信用卡信息和其他个人信息)泄漏给第三方……这可能会让用户面临身份盗窃、网络诈骗和其他有害的行为。在结账或注册过程中收集用户输入也是如此。


虽然有一些会话回放工具能够编辑(隐藏)用户行为被记录时用户输入的信息,但并不是所有工具都能做到这一点。在他们的研究中,一些密码可以被清晰地记录下来,许多敏感数据也可能被泄露。研究人员创建了一个表来展示他们的发现,其中全填充圆表示数据被排除(编辑),半填充圆表示等效屏蔽(equivalent masking),空心圆表示数据被直接发送:



即使有一些安全措施,普林斯顿大学的研究人员还是发现,包括 Yandex、Hotjar 和 Smartlook 在内的一些公司,都提供了用户访问 HTTP 页面的视频记录回放,甚至有些视频是在 HTTPS 页面上录制的。因为 HTTP 页面是未加密的,这为 MITM(中间人)攻击提供了一个巨大的机会,黑客可以轻易地窃取所有的记录数据。



使用会话回放脚本的 VPN 网站

跟踪器与隐私侵权

但跟踪器带来的问题远不止回放脚本导致的漏洞和隐私缺乏。


跟踪器的类型很多,它们提供不同程度的隐私保护。一些跟踪器会收集用户数据,但除了匿名/聚合数据外不会共享任何内容,而其他跟踪器则没有明确它们共享的内容。有些甚至是相当友好,它们收集数据,但很少共享,或者它们对于一个网站的运作非常重要。


但也有一些跟踪器非常糟糕,他们与第三方共享个人身份数据或匿名数据。我们发现了 34 种对隐私有害的跟踪器,其中包括 Taboola、Zendesk、Adroll、BlueKai 和 OpenX。

OpenX 巨大的数据采集量

让我们以最后一跟踪器 OpenX 为例。根据他们的隐私策略,自称全球“程序化广告”领导者的 OpenX 可能会收集你的年龄、性别、婚姻状况、电话信息、IP 地址,甚至精确的 GPS 位置:



他们还可以出于各种目的与他人共享所有这些数据。


OpenX 过去曾被指控侵犯消费者隐私。这家程序化广告公司被认定使用了一种技术,使其可以与其他公司共享数据,包括未经授权的第三方。实际上,这使得多家公司可以收集用户的数据,即使这些公司没有按照 GDPR 和加州的 CCPA 征得用户同意。

BlueKai 褒贬不一的声誉

但是,OpenX 并不是唯一这样做的。这些风险较高的跟踪器大多使用了相同的商业技术。以 2014 年被甲骨文收购的 BlueKai 为例。BlueKai 因为其可能侵犯隐私的问题被一次一次地提及。出于对“数据经纪和广告技术行业数据处理活动”的严重担忧,Privacy International 甚至在一份GDPR投诉中提到了它。


在 BlueKai 和其他数据经纪商的学术研究中,研究人员提到了数据经纪商存在的三大用户隐私方面的问题:


  1. 数据存储的安全性不够

  2. 跟踪方将数据出售给其他实体

  3. 广告代理商无意中通过其广告服务暴露了用户数据


第二个问题最糟糕。由于像 BlueKai 这样的数据经纪商是通过收集和出售用户数据来赚钱,这会带来了很大的隐私风险。这是因为,虽然 BlueKai 的隐私策略规定了它可以和不可以对用户数据做什么,但这些数据最终将受 BlueKai 的客户隐私策略约束,而该策略可以和 BlueKai 的隐私策略不同。



因此,虽然 BlueKai 可能会声明,他们在收集你的数据时尊重你的隐私,但他们很可能会把这些数据卖给那些根本不关心你的隐私的公司。



VPN 使用了高风险跟踪器

对于 VPN 用户,这意味着什么?

总的来说,那些访问 VPN 网站的人无疑会感到失望。实际上,你会期望从这些服务中获得更高水平的隐私保护和匿名性——基于这些 VPN 公司应该提供的服务——但实际上你会发现,这些服务的隐私保护水平和匿名性远远低于预期。


VPN 网站使用的营销策略与它们经常指责的 Facebook 等大公司相同。事实上,我们分析了 45 个使用 Facebook 跟踪器的网站。这就像一个人两张嘴,一边说 Facebook 侵犯你的隐私,一边又说 Facebook 对你的客户有好处。


不管怎么说,用户正在遭受损失。广告技术公司和数据经纪商收集并出售用户数据,而这些 VPN 网站似乎没有任何特别的隐私或匿名措施。


幸运的是,有一个简单但不完美的解决方案:


  • 使用像 Ghostery 这样的扩展和工具,可以帮助你阻止许多跟踪器和会话回放脚本

  • 使用像 Brave 这样默认开启隐私模式的浏览器

  • 严格限制你在这些网站上做的事,或者完全避免使用它们。(如果有任何问题,只要给他们的客服发邮件就可以了)。


你可以使用更多复杂的方法,来限制与这些网站以及所有网站和浏览器共享的数据类型,但是我们上面列出的这些选项对于 VPN 网站应该是有用的。


不过,我想以一个积极的方式结束本文,下面是 20 个最私密的 VPN 网站,它们包含的跟踪器数量最少:


  1. 12VPN – 0

  2. AirVPN – 0

  3. ConfirmedVPN – 0

  4. CryptoStorm – 0

  5. Disconnect VPN – 0

  6. DotVPN – 0

  7. Mullvad – 0

  8. ProtonVPN – 0

  9. Psiphon – 0

  10. Thunder VPN – 0

  11. VIP72 VPN – 0

  12. VPN.ac – 0

  13. Zorro VPN – 0

  14. Celo VPN – 1

  15. Hideman VPN – 1

  16. IVPN – 1

  17. Seed4.Me – 1

  18. VPNReactor – 1

  19. Windscribe – 1

  20. ZenVPN – 1

那些最受欢迎的 VPN 又如何?

如果没有看到你最喜欢的 VPN 提供商——无论是 NordVPN、ExpressVPN,甚至是 PIA——那可能是因为他们既没有最危险的跟踪器,跟踪器数量也不是最少。


以下是用户最喜欢的 20 个 VPN 提供商,以及它们在跟踪器总数、高风险跟踪器和会话回放脚本方面的情况:


VPN提供商跟踪器总数高风险跟踪器会话回放脚本
NordVPN1000
Surfshark800
ExpressVPN1000
CyberGhost1001
Astrill700
TorGuard400
Ivacy1111
PrivateVPN700
Windscribe100
VyprVPN1200
ProtonVPN000
Perfect Privacy500
PIA400
IPVanish1520
Hotspot Shield800
PureVPN1001
HideMyAss1501
TunnelBear500
Avast SecureLine VPN2433
Norton WiFi Privacy3681


原文链接:


Top VPNs are recording users and potentially leaking their data when they visit their website


活动推荐:

2023年9月3-5日,「QCon全球软件开发大会·北京站」 将在北京•富力万丽酒店举办。此次大会以「启航·AIGC软件工程变革」为主题,策划了大前端融合提效、大模型应用落地、面向 AI 的存储、AIGC 浪潮下的研发效能提升、LLMOps、异构算力、微服务架构治理、业务安全技术、构建未来软件的编程语言、FinOps 等近30个精彩专题。咨询购票可联系票务经理 18514549229(微信同手机号)。

2020-04-10 08:006196

评论

发布
暂无评论
发现更多内容

风云叱咤,尚硅谷云原生实战教程(下篇)发布

编程江湖

Java 开发

Vue.js关于响应式部分的优化

编程江湖

前端开发

技术分享| 如何快速实现音视频在线通话

anyRTC开发者

音视频 语音通话 视频通话 呼叫邀请 离线推送

通用数据保护条例的监管下,你的数据湖“断舍离”了吗?

亚马逊云科技 (Amazon Web Services)

分析

大数据开发 Spark 模块之SparkSQL

@零度

大数据 spark Sparksql

借助Amazon EMR与外部KDC进行身份认证,有效集成业务场景

亚马逊云科技 (Amazon Web Services)

分析

读《思辨与立场》-08设计你的人生

wood

28天写作 批判性思维 思辨与立场

模块7作业

panxiaochun

架构实战营

面对持续不断生成的流数据—— Amazon Kinesis Data Analytics 实现及时分析与处理

亚马逊云科技 (Amazon Web Services)

分析

Amazon Timestream 在车联网场景的典型应用和性能测试

亚马逊云科技 (Amazon Web Services)

分析

在线JSON转toml工具

入门小站

工具

直播预告丨和我们一起过圣诞吧!Hackathon 创意攻略等你查收

PingCAP

云小课|云小课带你快速掌握云数据迁移CDM

华为云开发者联盟

EI智能体 数据湖治理中心 云数据迁移 CDM

Linux之head命令

入门小站

Linux

轻松搭建数据仓库,与FreeWheel一起“玩转”Amazon EMR

亚马逊云科技 (Amazon Web Services)

分析

体育锻炼的好处

Tiger

28天写作

​虚幻引擎5更新:头部工作室如何使用Perforce Stream实现虚幻升级

龙智—DevSecOps解决方案

虚幻引擎 虚幻引擎5 UE5

前端开发之多环境下react的配置

@零度

前端开发 React

百度智能云实战——静态文件CDN加速

百度Geek说

后端 H5 移动开发

如何在 K8s 集群中使用 Nocalhost 开发 APISIX Ingress

API7.ai 技术团队

Kubernetes 网关 Nocalhost Apache APISIX Ingress Controller

Amazon Redshift ML现已正式推出——使用SQL创建机器学习模型并通过您的数据进行预测

亚马逊云科技 (Amazon Web Services)

分析

通过Amazon SageMaker与Amazon Step Functions实现机器学习的CI/CD 方案

亚马逊云科技 (Amazon Web Services)

分析

焱融科技与趋动科技携手解决一站式存算难

焱融科技

云计算 分布式 云原生 高性能 文件存储

能源互联,激荡十年

钛禾产业观察

能源互联网 新能源

在Amazon SageMaker上快速、灵活构建TensorFlow模型的在线推理服务

亚马逊云科技 (Amazon Web Services)

分析

Go 的 golang.org/x/ 系列包和标准库包有什么区别?

AlwaysBeta

golang Go 语言

2021 InfoQ 写作平台年度优质企业号评选名单公布!

InfoQ写作社区官方

2021年度评选 热门活动

推出Amazon Kinesis Data Analytics Studio —— 与流数据快速交互

亚马逊云科技 (Amazon Web Services)

分析

“你最崇拜的人是谁”,从面试问题看标杆学习法

编程江湖

面试题

使用Amazon RDS for Oracle配合Oracle Active Data Guard建立托管的灾难恢复与只读副本

亚马逊云科技 (Amazon Web Services)

分析

使用 Amazon Athena 做漏斗分析——实现更高效的数据湖检索

亚马逊云科技 (Amazon Web Services)

分析

  • 扫码添加小助手
    领取最新资料包
VPN 正在泄露你的隐私,怎样才能实现“网络自由“?_安全_Jan Youngren_InfoQ精选文章