慎選VPN服務供應商 保障雲端數據安全

VPNMentor最新發布的調查報告顯示,本港近日有7個VPN服務供應商導致超過10億項記錄外洩,涉及約2,000萬個用戶,其中包括活動日誌、個人資料、Bitcoin付款資訊、個人裝置數據、帳號資料、Paypal API連結,甚至連明文密碼亦無法倖免。

經調查後發現,以上的VPN服務均由同一個開發商提供,而資料則是由於雲端資料庫ElasticSearch的配置錯誤而洩漏。這7個VPN聲稱採用軍事級安全防護及零日誌政策,事實上卻並未遵守規定,亦未有妥善處理用戶數據及適當配置雲端系統,最終引致大量資料外洩。現時市面上VPN供應商眾多,用戶務必小心選擇,以策安全。 

為消除用戶對VPN的誤解,以及保障雲端數據安全,網絡安全廠商Sophos的首席研究科學家Paul Ducklin有以下建議:

  • VPN非萬能亦非隱身術:VPN不是魔法,無法隱藏或改變用戶的身份,即使瀏覽的網站無法掌握用戶的確實位置,但用戶的真正身份依然不變。
  • VPN亦受法例規管:使用VPN時有如轉換網絡服務供應商 (ISP),而VPN供應商依然可以得知用戶的原始網絡流量及來源,就如ISP一樣,亦必須緊記VPN與ISP同樣受法例約束,但VPN所遵守的規例或有所不同。
  • 確保雲端數據安全:除了向大眾公開的資料外,必須好好保護雲端內的數據:預先設置鎖好數據、切勿與外界分享承諾保密的私人資訊,以及儘早永久刪除已經使用的資料,不作保留。
  • 採用雲端管理工具:利用雲端管理工具監察雲端資產的位置,雲端儲存迅速簡便,非常適合作短期用途,但簡易的操作或會令人鬆懈,因此設置時必須謹慎,以免日後讓不法之徒有機可乘。