還在「翻牆」看影片?資安報告:全球近三成VPN龍頭公司為中資持有

還在「翻牆」看影片?資安報告:全球近三成VPN龍頭公司為中資持有
Photo Credit: Shutterstock/ 達志影像

我們想讓你知道的是

資安報告指出,中國是最具壓迫、監視性的國家,擁有非常嚴格的數據保留法,使用與該國有關的VPN服務,使用者的個資恐落入中國政府的手中。

不只中國網民靠VPN(虛擬私人網路)翻牆使用臉書,全球也有不少網民使用VPN的擴充功能突破區域限制觀看線上影片,不過近日資安研究公司「VPNpro」發表調查報告,顯示全球前97大VPN其實掌握在23家母公司手中,而這23家公司中就有6家位於中國,佔了近3成。

(中央社)資安機構調查發現,全球97家主要翻牆軟體(VPN)業者中,至少有29家的母公司是中資公司,比重直逼3成。專業人士認為,中國官方除可藉此建立VPN用戶的大數據外,也能讓翻牆趨於困難。

深圳一名曾參與本土VPN經營的人士向中央社記者表示,這個舉動就好比「修(蓋)了牆,又要把人家搭的(翻牆)梯子收了」。

這名人士指出,中資企業自行成立或收購境外VPN公司的作法,約自2015年前後開始。這些VPN公司被納入中資旗下後,雖然持續收費運作,但翻牆的難度卻在升高,到了今年更是明顯。

德國之聲報導,負責這項調查報告的資安研究機構VPNPro還指出,全球97家主要VPN業者分別由23家母公司掌握。但這23家中的6家卻是中資公司,旗下擁有29家VPN業者。

VPN
Photo Credit: VPNpro 網站

報告還提到,有不少VPN業者向消費者隱瞞其背後母公司的訊息,令人擔憂。如果消費者知道,業者擁有的用戶資訊隨時可被中國、巴基斯坦這樣的政權合法調閱,勢必大為吃驚。

這項報告指出,

在中國等對個人隱私數據保護不充分的國家,官方能輕易地以合法手段,查閱境內VPN業者所保存的用戶數據、帳號密碼等,甚至還能轉移這些資訊(例如轉往中國),而用戶卻毫不知情。

報告提到,想要獲取資料的任何政府,可分析VPN用戶的數據辨別身分及上網喜好,諸如人權工作者、調查記者、洩密者將因此面臨威脅。即使是普通的網民,也會因此遭到更嚴密的網路監控。

VPN的主要用途是在公共網路上的幾個節點之間建立私密、安全的通道,這些節點之間的通訊彷彿處於一個專用的局域網內。有許多企業為其員工提供VPN,方便他們在家辦公;跨國公司更是需要VPN服務來保證各分公司以及總部之間的通訊效率與訊息安全。而在中國等網路管制相當嚴厲的國家,許多網民也利用VPN服務來「翻牆」,建立一條通往外國網路的加密通道,然後從位於國外的這個網路出發,訪問那些被政府所屏蔽的外國網站。

中資企業擴大經營VPN,有2大考量

上述人士表示,中資企業擴大經營VPN公司應該有2個考量。首先是逐步增加翻牆的難度,這就好比車子上鎖,裝得越多,越能降低竊賊下手的意願。同理,翻牆越難,網民想要瀏覽違禁網站的意願也就越低。

他指出,第2個考量就是蒐集並分析VPN用戶瀏覽違禁網站的各種模式,諸如網站種類、內容、瀏覽時間等,並連結用戶身分,便可建立大數據加以分析,作為制訂網路查禁措施的依據。並以此揪出瀏覽群,進而對用戶採取監控,甚至強制措施。

VPNpro也直接在報告中明示,中國是最具壓迫、監視性的國家,且擁有非常嚴格的數據保留法,使用與該國有關的VPN服務,使用者的個資恐落入中國政府的手中。

使用VPN,中國政府可能任意取用個資

《Inside》報導,雖然一家公司擁有複數VPN服務並不罕見,但VPNpro擔心這些服務都設在隱私相關法律不嚴格或是不存在的國家。該公司研究分析師也表示,這份報告並不是在指控那些VPN實質上做了哪些出賣個資之類的事情,但他們也擔心VPN提供商的資訊揭露確實不夠透明,很多VPN使用者們會驚訝地發現,中國、巴基斯坦等國政府可以依照法律,向VPN公司隨時索取他們所傳輸的資料。

「我們並沒有指責這些公司做任何事情。但是,我們擔心有這麼多VPN提供商對誰擁有它們以及它們所在的位置並不完全透明。」VPNpro的研究分析師Laura Kornelija Inamedinova表示。

VPNPro還直接點名,Innovative Connecting實際上就是間中國公司,他們旗下擁有10個包含Autumn Breeze 2018、Lemon Cove、All Connected等表面看似毫無關聯的VPN產品,總安裝量估計達到8600萬。而按照中國法律,這些企業儲存的使用者資料隨時可供當局查閱。

中國_VPN
Photo Credit: VPNpro 網站

《美國之音》去年11月報導也指出,美國科技公司Metric Labs研究部主管(Simon Migliano)針對英美境內的Google和蘋果app商店中30個免費的VPN應用服務進行分析,結果顯示,其中有超過半數(17個)免費VPN服務是中資,或是公司設在中國境內。

「這些免費的VPN應用大多沒有正式的用戶隱私保護措施,或者沒有用戶支持系統」,該名研究員指出,他研究的VPN中,有86%的隱私政策「無法令人接受」。一些VPN服務在政策中就承認他們與第三方分享數據,特別是與中國第三方公司分享數據及追踪用戶。

《德國之聲》報導指出,雖然多年來中國當局一直沒有過多關注使用VPN服務的「翻牆行為」,但從2017年起,北京方面開始以「促進行業健康發展」為由,發布多項法規整治VPN市場。根據這些新規,VPN服務提供商必須獲得中國電信主管機關的許可,並集中建立用戶檔案。

而針對「未經許可」提供VPN服務的經銷商,中國當局近年來也逐步加大了打擊力度。2017年底,廣西人吳向洋因「未經許可」經營VPN銷售代理服務被判處5年半監禁、並處罰金50萬元人民幣。而在此之前,一名26歲的廣東男子也因「販賣翻牆軟體」被判處有期徒刑9個月。

不過其實不只中國,VPNpro報告也指出,還有32家VPN服務商由5家美國母公司所控制,而美國政府機關也有權查閱這些服務商所存儲的用戶數據。

維權組織Big Brother Watch之前曾經在一份報告中也指出過VPN服務商所帶來的潛在風險。同時,報告也注意到,許多服務商也主動承諾,不存儲、記錄任何用戶數據;這意味著即便政府部門前往查閱,也無法從服務器商獲取任何有價值的用戶信息。該組織因此建議用戶首選這些服務商。

延伸閱讀:

新聞來源:

核稿編輯:楊士範
Tags: