悪霊にさいなまれる世界 -The Demon-Haunted World

30代独身機械系技術者が雑記/セキュリティ/資産運用なんかを書きます/PGP・GPG Key:D1BC 2E2A 76F4 509E 525E 5A3B E409 7C46 4976 EA5A

「ログを一切取らない」と謳っていたVPNサービスから、2000万件を超える個人情報が流出した件

完全に笑い話。

www.hackread.comwww.privateinternetaccess.com

香港を拠点とする"UFO VPN"なるサービス、この手のVPNではよくある「No Log Policy」(ログは一切取らない)を掲げてたにもかかわらず、ログどころかユーザ名・平文パスワード・IPアドレス・接続先・タイムスタンプ諸々が保存されていて、これが流出した。

しかも、発覚したきっかけは、VPNMenterと言う調査サービスがElasticsearchクラスタに894GBのデータベースがパスワード無しで保存されていたのを発見したこと、というアボガドバナナかと案件。

ほかにも"FAST VPN", "FREE VPN", "Super VPN", "Flash VPN", "Rabbit VPN"と言うサービスのデータも含まれていたが、どうやらサービスの名前だけ違って全て同じアプリを使っていた模様。

今までも「ログは取りません」と謳ってたVPNサービスがFBIにログを提出していた、とかそう言う事件もあった(「そもそも月数ドル払うだけで、会社が法的リスクを背負ってくれると本気で思ってるのか?」と言う根本的な疑問がある)ので、わざわざおカネを払ってサードパーティVPNを利用する意味が本当にあるのか、よく検討が必要だろう。