慎選VPN服務供應商　保障雲端數據安全

VPNMentor最新發布的調查報告顯示，本港近日有7個VPN服務供應商導致超過10億項記錄外洩，涉及約2,000萬個用戶，其中包括活動日誌、個人資料、Bitcoin付款資訊、個人裝置數據、帳號資料、Paypal API連結，甚至連明文密碼亦無法倖免。

經調查後發現，以上的VPN服務均由同一個開發商提供，而資料則是由於雲端資料庫ElasticSearch的配置錯誤而洩漏。這7個VPN聲稱採用軍事級安全防護及零日誌政策，事實上卻並未遵守規定，亦未有妥善處理用戶數據及適當配置雲端系統，最終引致大量資料外洩。現時市面上VPN供應商眾多，用戶務必小心選擇，以策安全。　

為消除用戶對VPN的誤解，以及保障雲端數據安全，網絡安全廠商Sophos的首席研究科學家Paul Ducklin有以下建議：

• VPN非萬能亦非隱身術：VPN不是魔法，無法隱藏或改變用戶的身份，即使瀏覽的網站無法掌握用戶的確實位置，但用戶的真正身份依然不變。

• VPN亦受法例規管：使用VPN時有如轉換網絡服務供應商 (ISP)，而VPN供應商依然可以得知用戶的原始網絡流量及來源，就如ISP一樣，亦必須緊記VPN與ISP同樣受法例約束，但VPN所遵守的規例或有所不同。
• 確保雲端數據安全：除了向大眾公開的資料外，必須好好保護雲端內的數據：預先設置鎖好數據、切勿與外界分享承諾保密的私人資訊，以及儘早永久刪除已經使用的資料，不作保留。

• 採用雲端管理工具：利用雲端管理工具監察雲端資產的位置，雲端儲存迅速簡便，非常適合作短期用途，但簡易的操作或會令人鬆懈，因此設置時必須謹慎，以免日後讓不法之徒有機可乘。