本週出現的消息證明 PureVPN 在如何保存日誌方面向消費者撒謊。這個故事緊急提醒我們必須謹慎選擇可靠的虛擬專用網絡 (VPN) 服務。
該故事圍繞馬薩諸塞州牛頓的一名網絡跟踪者的案件展開。 24 歲的瑞恩·林 (Ryan Lin) 被指控網絡欺凌、騷擾,並經常入侵一名 24 歲女性的多個賬戶,該女性在本案中被稱為詹妮弗·史密斯 (Jennifer Smith)(非受害者真名)。
令人厭惡的騷擾
一系列令人作嘔的犯罪行為包括訪問蘋果 iCloud 竊取受害者的個人照片,然後在隨機的露骨照片旁邊創建史密斯的拼貼畫。創作完成後,林先生繼續通過電子郵件將其傳播給史密斯的一些朋友和聯繫人(包括一名未成年人)。這些電子郵件被偽造,使它們看起來像是來自史密斯本人。
似乎這還不夠,被告繼續將史密斯私人日記的摘錄發送給她的幾個聯繫人。這些高度個人化的日記包含有關她的心理、醫療和性史的詳細信息。
林先生還以史密斯的名義開設了成人在線服務帳戶。林先生利用這些偽造的賬戶,尋找那些希望進行 BDSM、輪姦和強姦等極端性幻想的人。至少有三人來到史密斯小姐的住所尋找她,以回應這些虛假的招攬。
這完整列表林先生實施的虐待剝削行為是可怕的、有辱人格的、令人痛心的。這次騷擾導致史密斯搬出了家。根據宣誓書,虐待行為在那之後持續了很長時間。
數字指紋
當地警方近一年來一直試圖對史密斯小姐的投訴和指控採取後續行動。對於警方來說不幸的是,林先生結合使用了 Protonmail、Tor 和 VPN 服務來掩蓋他的行踪並隱藏他的身份。為此,當地警方決定請聯邦調查局協助破案。
在從林的前雇主那裡收回一台電腦後,聯邦調查局發現了一些數字文物,使他們能夠對起訴提出起訴。其中包括顯示林一直在使用 PureVPN 的數據痕跡。得知林使用過純VPN之後,FBI 決定向 VPN 公司尋求信息。
PureVPN 在其隱私政策中聲稱僅保留連接日誌:
那麼,PureVPN 是如何洩露林先生的 VPN IP 地址已登錄到他的 Gmail 地址以及用於騷擾 Smith 的另一個 Gmail 地址的呢? PureVPN 如何確認 Lin 使用 Rover.com 帳戶發現了 Smith 的真實電話號碼?最後,PureVPN 是如何將犯罪活動與 Lin 的家庭和工作 IP 地址聯繫起來的?
這個問題的答案其實很簡單。這是使用一個實現的時間相關攻擊。隱私政策沒有提及的是,當 PureVPN 記錄其服務器的連接時間時,它還會存儲 VPN 用戶的家庭 IP 地址。因此,PureVPN 實際上無法告知 FBI Lin 使用 VPN 的目的 - FBI 事先已獲得此信息。
事情是這樣展開的:
FBI 從 Gmail 和 Rover.com 獲取了可疑的 IP 地址。這些 IP 地址已被確認屬於 PureVPN。隨後,FBI 聯繫 PureVPN,告訴他們哪些 VPN IP 地址涉嫌參與這些犯罪活動,以及 Lin 的真實 IP 地址。
此時,PureVPN 能夠檢查 Lin 的家庭地址是否在 Gmail 和 Rover.com 向 FBI 提供的時間之前登錄到可疑的 VPN IP 地址。 VPN連接時間戳立即顯示林先生的真實IP地址當時確實使用了VPN。
尷尬的位置
在此之際,當局、受害者以及整個社會都可以感到慶幸,因為林先生不僅使用了眾所周知對保護人們隱私毫無用處的VPN,而且還感謝PureVPN願意幫助FBI的調查。
任何對受害者哪怕有一點同情心的人都會為林先生被捕而感到高興。就我個人而言,我希望林先生受到刑事司法系統的全部懲罰。
保護隱私的 VPN
儘管林將被起訴讓我鬆了口氣,但我還是處於一個有點尷尬的境地,因為我必須解釋為什麼消費者如果真正關心自己的數字隱私就應該避免使用糟糕的 VPN。
VPN 等隱私工具只是工具。我能想到的最好的類比是逃亡汽車。犯罪分子搶劫銀行後可以利用汽車逃跑。這是否使汽車(以及使用汽車的人)本質上是邪惡的?當然不是。歸根結底,大多數工具都可以用於好的目的或壞的目的。VPN 服務也不例外。
隱私是一項基本人權,必須不惜一切代價予以捍衛。尤其是在當今,過度擴張的政府及其機構集體侵犯了選民的數字隱私。
大多數公民不應該因為少數人的令人厭惡的行為而被剝奪隱私權。 VPN 賦予人們阻止互聯網服務提供商 (ISP) 和政府跨越重要邊界的權力和能力。如果沒有 VPN(以及一般的加密),私人通信很容易受到攻擊。如果它可以被一方攻擊,那麼它也可以被另一方攻擊。
PureVPN - 這個案例告訴我們什麼
PureVPN 已經作為不提供安全服務的提供商而受到 eeshanaviation.com 的關注。域名系統 (DNS) 洩漏很常見,隱私政策解釋說連接日誌將由 VPN 提供商保存。正是由於這個原因,PureVPN 被特別標記在它的評論因為這對隱私尤其不利。
然而,本案是第一次出現具體證據,證明 PureVPN 保留的有關其訂戶的日誌比其聲稱的更詳細。此外,該案例還強調了任何保留連接時間戳(以及客戶 IP 地址)的 VPN 永遠都不能被視為私有(這是我們在審查 VPN 提供商時始終強調的一點)。雖然在這個場合我們可能想慶祝肇事者將面臨正義這一事實,但毫無疑問,這一事件使PureVPN 已經聲名狼藉的名字旁邊有一個大黑點。
該 VPN 的謊言在於其具有 DNS 洩漏保護功能以及其保存連接日誌的方式。如果它也對它提供的加密級別撒謊,我不會感到驚訝。我們的審閱者無法從 VPN 技術團隊獲得加密實施細節:這是加密薄弱的明確跡象。
如果您關心自己的數字足跡,那麼這個信息是響亮而明確的:應不惜一切代價避免使用 PureVPN(以及其他保留 IP 地址時間戳的 VPN)。為什麼?因為如果 PureVPN 願意幫助美國政府,人們就必須問這樣一個問題:是什麼阻止它幫助更令人厭惡的政治政權發起類似的時間關聯攻擊,將 VPN 用戶鏈接到經過審查或禁止的內容,這可能會給他們帶來麻煩?
意見是作者自己的。
標題圖片來源:PureVPN 徽標來自審查。
圖片來源:Photographee.eu/shutterstock.com、zendograph/shutterstock.com、iQoncept/Shutterstock.com