流行的“无日志” VPN 服务 IPVanish 似乎卷入了一个日志丑闻,用户日志被提供给正在调查刑事案件的当局。虽然这里没有人捍卫犯罪分子的行为,但重要的是,要认识到 VPN 服务会在何时无法维护其“零日志”策略以及对客户隐私的承诺。
这是 VPN 服务的“无日志”声明无法应对执法行为的又一个值得思考的案例。
IPVanish 现在加入了诸如 PureVPN,HideMyAss 和 EarthVPN 之类的行列,这些软件在各种刑事案件中都向当局提供了日志 - 可在这里参见 VPN关于日志的 说明以及对这些案例的讨论。
IPVanish “日志事件“的事实
在深入研究案件事实之前,需要注意的是:
这一具体案件涉及到美国国土安全部代理人在 2016 年对 IPVanish 用户进行调查后发生的儿童虐待和色情活动。
下图是宣誓书第23页的内容(22/28):
正如你所看到的,国土安全部向 IPVanish 的母公司 Highwinds Network Group 发出了“ 记录传票 ” 。根据这些记录,当局没有使用传讯、搜查令或附有禁令的所谓“国家安全信函”。这仅仅是一个对用户信息的索取要求。
大约两周后,2016 年 5 月 26 日,IPVanish 回复了传票,基本上声明他们没有任何用户数据,因为他们“没有记录任何使用信息”。
然而,在调查人员跟进请求后,Highwinds Network Group(IPVanish)告诉当局“ 提交第二次传票,要求更详细的用户信息。”
2016 年 6 月 9 日,调查人员向 IPVanish 提出了另一项要求,索取“任何与使用 IP 209.197.26.72,端口 6667 的 IRC 流量相关的数据。”十二天后,IPVanish 向国土安全部门提供了有关“嫌疑人”的以下数据记录:
根据宣誓书,IPVanish还向美国国土安全部门提供了以下用户数据:
可疑用户的源 IP 地址(50.178.206.161)
可疑用户与 IRC 网络连接并断开连接的日期和时间
第二个项对于这种情况来说非常重要,因为它证明了 IPVanish 正在(或曾经在)保存用户活动的详细日志,这明显违背了他们声称所拥有的“零日志策略”。
从 IPVanish 的母公司 Highwinds Network Group 获得连接和使用日志后,DHS 当局能够通过他的 Comcast IP 地址和位于印第安纳州 Muncie 的位置轻松识别到用户。Comcast 随后向有关当局提供了有关嫌疑人的更多信息,当局随后在 Vincent Gevirtz 和他在印第安纳州曼西的住所提供了联邦搜查令。
IPVanish日志记录策略
IPVanish 这个自称拥有“零日志”的 VPN 提供商有着悠久历史。
使用 WayBack 机器,我们可以在事件发生前(2016年4月)和事件发生后(2016年8月)看到 IPVanish 的隐私政策。在此事件以及这两个隐私政策中,您可以看到,IPVanish 提出了以下要求:
“IPVanish不会收集或记录任何流量或使用其虚拟专用网络服务。”
注意:IPVanish 今天在其主页上使用的依旧是“严格的零日志策略”相同的措辞。
IPVanish 首席执行官在 reddit 上的回应
在这起案件后,一名名为“ lavosby ” 的用户声称是 IPVanish 首席执行官 - 发布了以下回复:
后来在同一主题中,用户“lavosby”解释说 IPVanish 是由 Stackpath 于 2017 年2月2日收购的。事实上,我发现 这篇博文验证了 2017 年 Highwinds 如何被 Stackpath 收购。现在看来, Highwinds 和 IPVanish 都在 Stackpath 下运行。
在解释这些记录事件时,lavosby 说:“我们只能猜测,这是来自当局的一次性命令。”
当然,无法验证这是否属实,或者 IPVanish 现在是否真的是“无日志”VPN 服务。
然而,可以验证的是,IPVanish 在他们记录用户数据并将其交给美国当局的确切时间内仍在声称自己拥有“严格的零日志策略”。
在请求 IPVanish 的回应后,他们提供了恢复隐私声明:
That court case was from 2016 – long before StackPath acquired IPVanish in 2017. IPVanish does not, has not, and will not log or store logs of our users as a StackPath company. We can't speak to what happened on someone else's watch, and that management team is long gone. In addition to not logging, StackPath will defend the privacy of our users, regardless of who demands otherwise.
你可以信任谁?
这种情况再一次说明了选择 VPN 服务时最根本的问题:信任。
不幸的是,有几种不同的情况已经显示 VPN 在公开提供客户数据给主管当局时公然违反了他们的“无日志”原则。那么你还能相信任何 VPN 服务吗?
然而也有另一些 VPN 已经通过刑事案件验证了他们的不收集声明。以下是这些案例的三个简要例子:
2016年,Private Internet Access (美国境内)在联邦调查局涉及假炸弹威胁的案件中接受了“无日志”声明的测试。PIA 在法庭上公开表示他们没有任何他们能够提供的调查日志。
2017 年 Perfect Privacy 完美隐私 (位于瑞士)在鹿特丹有两台服务器。由于没有日志和所有在 RAM 磁盘模式下运行的服务器,因此没有客户数据受到影响。(服务器扣押的确切原因尚未被荷兰当局公开披露)
2017 年 ExpressVPN (位于英属维尔京群岛)被土耳其查获服务器。当局无法获得任何用户数据。ExpressVPN 还发布了一份公开声明,解释说他们由于没有日志记录政策而无法向主管部门提供任何数据。
这就是为什么说读新闻很重要。
这些案例还说明了在良好的隐私管辖范围内选择 VPN 的重要性(5 眼和 14 眼以外的国家/地区)。毕竟,美国当局有能力强迫任何公司交出用户数据,同时通过禁令来禁止任何形式的披露 —— 你被卖了都不会知道。
从上面的宣誓书可以看出,美国当局继续对 IPVanish 施加压力,直到他们同意交出用户数据。与 PureVPN 一样,美国当局也成功地从海外 VPN 提供商获取数据。
⚠️ 本文的重点在于强调关于这个 IPVanish 日志记录案例的事实,并说明 VPN 行业中“无日志”声明所存在的一些问题。总之,在选择 VPN 时你应该注意:别选美国的和中国的、以及 五眼和十四眼国家的;别错过新闻报道,追踪那些你投入了信任的公司的故事,一旦发现前车之鉴,建议马上收回你的信任。
Comments