写点什么

VPN 正在泄露你的隐私,怎样才能实现“网络自由“?

2020 年 4 月 10 日

VPN 正在泄露你的隐私,怎样才能实现“网络自由“?


本文最初发布于 VPNpro 的博客,经原作者授权由 InfoQ 中文站翻译并分享。


在考虑对于消费者而言最方便的网络安全工具时,你可能会想到防病毒程序和 VPN。其中,VPN 被用来避开地理位置限制,并为用户提供最大限度的安全和隐私。


所以,当用户发现他们喜欢的一些 VPN 根本不尊重他们的隐私时,他们会感到非常惊讶。


我们的研究表明,VPN 网站与其他流行的网站非常相似,有时甚至更差,这非常令人失望。在我们分析的 114 个 VPN 中,102 个网站有跟踪器,26 个网站有 10 个甚至更多的跟踪器。许多跟踪器涉及到在尊重用户隐私方面名声不佳的第三方,它们可能对用户不利。


更糟糕的是,它们使用了会话回放脚本:近 1/4 的 VPN 网站使用它们来记录每个用户如何使用他们的网站,他们点击什么,他们搜索什么,等等。


幸运的是,情况并非都这么糟糕:有 13 个网站上完全没有跟踪器,有 48 个网站上的跟踪器为 4 个或少于 4 个。


但是,说实话,最后的赞美只是一种安慰。请记住,这些跟踪器是为了跟踪你的在线行为,记录你在互联网上的访问情况。即使在你的网站上只有一个这样的跟踪器,也会让你失去隐私和匿名性。


要点

  • 102 个 VPN 站点有 1 个及 1 个以上的跟踪器,26 个站点有 10 个及 10 个以上的跟踪器

  • 114 个 VPN 站点上有 32 个会话回放脚本

  • 17 个网站有来自第三方的跟踪器,它们的隐私保护措施不够完善

  • 45 个网站有 Facebook 跟踪器,其中 39 个有超过 1 个跟踪器

  • 只有 13 个网站没有跟踪器


关于本研究

为了分析这些网站,我们使用了免费的反跟踪插件 Ghostery。它的数据库中不仅有一个很大的跟踪器列表,而且还提供了指向这些跟踪器隐私策略的链接,以及收集并分享的各种数据的摘要。


除了查看每个 VPN 网站的跟踪器外,我们还查看了这些第三方隐私策略,以确定它们的安全性或风险。


最初的列表中包含了前 120 个 VPN 网站,但是其中 6 个已经下线了。我们分析的 VPN 网站清单来自我们 2019 年的 VPNpro 排行榜。


会话回放脚本的危险之处

当你访问一个使用了会话回放脚本的网站时,你的会话(你的访问)可能会被记录下来。会话回放脚本允许网站所有者、市场营销人员、销售人员等查看用户如何与他们的网站交互。我们发现,有 26 个 VPN 站点在他们的网站上使用了会话回放脚本,其中一个是 Avast SecureLine VPN,它甚至使用 3 种不同的会话回放工具来记录用户的行为


术语“会话回放”源于这些工具具备回放用户会话的能力。实际上,这些工具可以记录你在访问他们网站时的所有活动,包括你点击了什么、你搜索了什么、你在任何表单中输入了什么(甚至在你点击“提交”之前),以及你在网上做的其他任何事情。


我们所说的记录,指的是真正的录制:这些会话回放是你的在线行为的视频记录。如果这听起来还不够恐怖,普林斯顿大学安全研究人员还发现了以下内容:


在记录过程中,第三方回放脚本收集的页面内容可能导致页面上显示的敏感信息(如医疗记录、信用卡信息和其他个人信息)泄漏给第三方……这可能会让用户面临身份盗窃、网络诈骗和其他有害的行为。在结账或注册过程中收集用户输入也是如此。


虽然有一些会话回放工具能够编辑(隐藏)用户行为被记录时用户输入的信息,但并不是所有工具都能做到这一点。在他们的研究中,一些密码可以被清晰地记录下来,许多敏感数据也可能被泄露。研究人员创建了一个表来展示他们的发现,其中全填充圆表示数据被排除(编辑),半填充圆表示等效屏蔽(equivalent masking),空心圆表示数据被直接发送:



即使有一些安全措施,普林斯顿大学的研究人员还是发现,包括 Yandex、Hotjar 和 Smartlook 在内的一些公司,都提供了用户访问 HTTP 页面的视频记录回放,甚至有些视频是在 HTTPS 页面上录制的。因为 HTTP 页面是未加密的,这为 MITM(中间人)攻击提供了一个巨大的机会,黑客可以轻易地窃取所有的记录数据。



使用会话回放脚本的 VPN 网站


跟踪器与隐私侵权

但跟踪器带来的问题远不止回放脚本导致的漏洞和隐私缺乏。


跟踪器的类型很多,它们提供不同程度的隐私保护。一些跟踪器会收集用户数据,但除了匿名/聚合数据外不会共享任何内容,而其他跟踪器则没有明确它们共享的内容。有些甚至是相当友好,它们收集数据,但很少共享,或者它们对于一个网站的运作非常重要。


但也有一些跟踪器非常糟糕,他们与第三方共享个人身份数据或匿名数据。我们发现了 34 种对隐私有害的跟踪器,其中包括 Taboola、Zendesk、Adroll、BlueKai 和 OpenX。


OpenX 巨大的数据采集量

让我们以最后一跟踪器 OpenX 为例。根据他们的隐私策略,自称全球“程序化广告”领导者的 OpenX 可能会收集你的年龄、性别、婚姻状况、电话信息、IP 地址,甚至精确的 GPS 位置:



他们还可以出于各种目的与他人共享所有这些数据。


OpenX 过去曾被指控侵犯消费者隐私。这家程序化广告公司被认定使用了一种技术,使其可以与其他公司共享数据,包括未经授权的第三方。实际上,这使得多家公司可以收集用户的数据,即使这些公司没有按照 GDPR 和加州的 CCPA 征得用户同意。


BlueKai 褒贬不一的声誉

但是,OpenX 并不是唯一这样做的。这些风险较高的跟踪器大多使用了相同的商业技术。以 2014 年被甲骨文收购的 BlueKai 为例。BlueKai 因为其可能侵犯隐私的问题被一次一次地提及。出于对“数据经纪和广告技术行业数据处理活动”的严重担忧,Privacy International 甚至在一份GDPR投诉中提到了它。


在 BlueKai 和其他数据经纪商的学术研究中,研究人员提到了数据经纪商存在的三大用户隐私方面的问题:


  1. 数据存储的安全性不够

  2. 跟踪方将数据出售给其他实体

  3. 广告代理商无意中通过其广告服务暴露了用户数据


第二个问题最糟糕。由于像 BlueKai 这样的数据经纪商是通过收集和出售用户数据来赚钱,这会带来了很大的隐私风险。这是因为,虽然 BlueKai 的隐私策略规定了它可以和不可以对用户数据做什么,但这些数据最终将受 BlueKai 的客户隐私策略约束,而该策略可以和 BlueKai 的隐私策略不同。



因此,虽然 BlueKai 可能会声明,他们在收集你的数据时尊重你的隐私,但他们很可能会把这些数据卖给那些根本不关心你的隐私的公司。



VPN 使用了高风险跟踪器


对于 VPN 用户,这意味着什么?

总的来说,那些访问 VPN 网站的人无疑会感到失望。实际上,你会期望从这些服务中获得更高水平的隐私保护和匿名性——基于这些 VPN 公司应该提供的服务——但实际上你会发现,这些服务的隐私保护水平和匿名性远远低于预期。


VPN 网站使用的营销策略与它们经常指责的 Facebook 等大公司相同。事实上,我们分析了 45 个使用 Facebook 跟踪器的网站。这就像一个人两张嘴,一边说 Facebook 侵犯你的隐私,一边又说 Facebook 对你的客户有好处。


不管怎么说,用户正在遭受损失。广告技术公司和数据经纪商收集并出售用户数据,而这些 VPN 网站似乎没有任何特别的隐私或匿名措施。


幸运的是,有一个简单但不完美的解决方案:


  • 使用像 Ghostery 这样的扩展和工具,可以帮助你阻止许多跟踪器和会话回放脚本

  • 使用像 Brave 这样默认开启隐私模式的浏览器

  • 严格限制你在这些网站上做的事,或者完全避免使用它们。(如果有任何问题,只要给他们的客服发邮件就可以了)。


你可以使用更多复杂的方法,来限制与这些网站以及所有网站和浏览器共享的数据类型,但是我们上面列出的这些选项对于 VPN 网站应该是有用的。


不过,我想以一个积极的方式结束本文,下面是 20 个最私密的 VPN 网站,它们包含的跟踪器数量最少:


  1. 12VPN – 0

  2. AirVPN – 0

  3. ConfirmedVPN – 0

  4. CryptoStorm – 0

  5. Disconnect VPN – 0

  6. DotVPN – 0

  7. Mullvad – 0

  8. ProtonVPN – 0

  9. Psiphon – 0

  10. Thunder VPN – 0

  11. VIP72 VPN – 0

  12. VPN.ac – 0

  13. Zorro VPN – 0

  14. Celo VPN – 1

  15. Hideman VPN – 1

  16. IVPN – 1

  17. Seed4.Me – 1

  18. VPNReactor – 1

  19. Windscribe – 1

  20. ZenVPN – 1


那些最受欢迎的 VPN 又如何?

如果没有看到你最喜欢的 VPN 提供商——无论是 NordVPN、ExpressVPN,甚至是 PIA——那可能是因为他们既没有最危险的跟踪器,跟踪器数量也不是最少。


以下是用户最喜欢的 20 个 VPN 提供商,以及它们在跟踪器总数、高风险跟踪器和会话回放脚本方面的情况:


VPN提供商跟踪器总数高风险跟踪器会话回放脚本
NordVPN1000
Surfshark800
ExpressVPN1000
CyberGhost1001
Astrill700
TorGuard400
Ivacy1111
PrivateVPN700
Windscribe100
VyprVPN1200
ProtonVPN000
Perfect Privacy500
PIA400
IPVanish1520
Hotspot Shield800
PureVPN1001
HideMyAss1501
TunnelBear500
Avast SecureLine VPN2433
Norton WiFi Privacy3681


原文链接:


Top VPNs are recording users and potentially leaking their data when they visit their website


2020 年 4 月 10 日 08:004237

评论

发布
暂无评论
发现更多内容

Elasticsearch初步认识

枫林

Java elasticsearch ES

最通俗易懂的 Redis 架构模式详解

哈喽沃德先生

redis 架构模式 redis集群 redis哨兵 redis主从

c语言函数指针之回调函数

C语言与CPP编程

C语言 回调函数 函数 函数指针

数据分析之伯克森谬误:颜值和性格真成反比吗

KAMI

人生 数据分析 数据

缓冲区溢出

C语言与CPP编程

c++ C语言 缓冲区 堆栈溢出

C语言与C++常见面试题

C语言与CPP编程

c++ 面试题 C语言

闲聊胡扯

C语言与CPP编程

随笔杂谈

Docker 安装和简单使用

枫林

Docker

你真的了解 Base64 吗

hepingfly

Java base64 编码

欢迎观看 AzureShow

亮小猪

云计算 开源 技术社区 azure 视频

微服务下数据一致性的几种实现方式

xcbeyond

微服务 BASE理论 数据一致性

甲方日常 7

句子

工作 随笔杂谈 日常

Flink检查点存在的性能影响-16

小知识点

scala 大数据 flink

联盟:互联网时代的人才变革

非著名程序员

互联网 个人成长 人才 人才发展 突破圈层,个体崛起

Redis做消息队列全攻略

架构师修行之路

redis MQ 消息队列

【Spring注解驱动开发】AOP核心类源码解析,这是最全的一篇了!!

冰河

spring aop ioc

在Rust里面嵌入python代码

lipi

Python rust

指针变量的传值和传址

C语言与CPP编程

c++ 指针 C语言

架构师训练营0期 第十二周作业

WW

oeasy教您玩转linux010203显示logo

o

Java集合源码学习笔记,Java程序员面试必备基础知识

Java成神之路

Java 程序员 面试 集合 架构师

在Alibaba广受喜爱的“Java突击宝典”简直太牛了

Java成神之路

Java 阿里巴巴 程序员 面试 架构师

C/C++函数指针与指针函数

C语言与CPP编程

c++ C语言 函数指针

我们一起学程序-五子棋

叫练

Java 多线程 游戏 websocket

AtmoicXXX与AtmoicXXXArray源码分析

Darren

源码 内存布局 CAS java 并发 AtmoicXXX

深挖 Redis 6.0 源码—— SDS

yanglbme

redis 源码 源码分析

区块链usdt支付平台搭建|OTC承兑跑分系统开发

WX13823153201

区块链usdt支付平台搭建

Zeppelin SDK :Flink 平台建设的基石

Apache Flink

flink

【高并发】要想学好并发编程,关键是要理解这三个核心问题

冰河

写作 多线程 高并发 同步 分工

浮点数比较的精度问题

C语言与CPP编程

c c++

Docker -快速安装Elasticsearch

枫林

VPN 正在泄露你的隐私,怎样才能实现“网络自由“?-InfoQ