
First VPN 被攻破:no-log 承諾對香港用家有咩啟示
案件未涉香港,但提醒 VPN 信任同遙距工作保安風險

圖:Ars Technica.原文連結
VPN 最容易賣到人嘅地方,就係一句「no-log」。對一般香港用家,佢可能係公眾 Wi-Fi、外遊酒店 Wi-Fi、跨境上網或者睇海外服務時嘅基本工具;對中小企,佢就係遙距工作同外判 IT 接入內部系統嘅通道。但 First VPN 被歐洲多國執法機關瓦解,真正值得留意嘅唔係「VPN 係咪已死」,而係一間 VPN 公司嘅私隱承諾,究竟有幾多係技術保證,有幾多只係市場說法。
Europol、Eurojust 同荷蘭警方資料顯示,今次行動由法國同荷蘭主導,在 2026 年 5 月 19 至 20 日執行,目標係被指專門服務網上犯罪市場嘅 First VPN。官方稱行動拆走 33 部同服務相關嘅伺服器,封鎖 1vpns.com、1vpns.net、1vpns.org 及相關 onion domains,並通知用戶服務已被關停及身份已被識別。Europol 亦稱管理員已被捕;Eurojust 同荷蘭警方則寫明在烏克蘭對一名疑犯進行搜查同問話。
被指專攻犯罪市場嘅 VPN
官方口徑入面,First VPN 唔係普通消費 VPN。Europol 指它多年來喺俄語網上犯罪論壇推廣,聲稱提供匿名付款、隱藏式基建,同為犯罪用途設計嘅服務;荷蘭警方亦稱,該服務主要喺警方已知嘅犯罪論壇招客,並聲稱唔配合司法、唔受任何司法管轄、唔保存用戶資料。呢啲說法同一般 VPN 廣告入面常見嘅「保護私隱」表面相似,但目標客群、宣傳渠道同配套服務,令執法機關將它定位成犯罪基建,而唔係單純私隱工具。
案件最敏感嘅位係資料怎樣到手。Europol 稱調查人員取得服務存取權、用戶資料庫,以及用來隱藏活動嘅 VPN 連線資料;Eurojust 亦稱,在服務下線前,執法機關已取得用戶流量資料同有用情報;荷蘭警方講法更直接,表示調查期間掌握到所有用戶嘅犯罪通訊資料,並向其他國際調查分享。換句話講,First VPN 對外塑造嘅「用戶安全」形象,至少喺呢宗案件入面,無法阻止執法機關取得用戶層面嘅資料。
FBI 嘅 2026 年 5 月 21 日 FLASH alert 令背景更清楚。FBI 指 First VPN 約自 2014 年起活躍,2026 年 4 月時約有 32 個出口節點,分佈 27 個國家,付款方式包括加密貨幣,亦支援 OpenConnect、WireGuard、Outline、VLESS TCP Reality、OpenVPN ECC、L2TP/IPSec 等協議或加密選項。FBI 又稱,至少 25 個勒索軟件組織曾使用 First VPN 基建做網絡偵察同入侵,相關 IP 亦曾涉及掃描、殭屍網絡、DDoS、詐騙同黑客活動;同時 FBI 特別註明,呢份報告只針對 First VPN Service,唔應延伸到其他名字相似或一般 VPN 供應商。
no-log 不是免死金牌
no-log 本身唔係無意義,但要睇實際架構同驗證方法。一間 VPN 可以唔長期保存瀏覽紀錄,但仍然可能短暫處理連線時間、入口 IP、出口節點、帳戶資料、付款紀錄、客服對話、app 錯誤回報,甚至喺被入侵、被植入監察能力、或被司法命令要求配合時暴露即時流量。對一般用家而言,問題唔係「呢間公司有冇一句 no-log」,而係公司有冇清楚講明記錄範圍、保留時間、伺服器架構、司法所在地、同遇上合法要求時嘅處理程序。
第三方審計亦要睇細節。真正有用嘅審計,應該有日期、審計機構、範圍、測試方法同可公開核對嘅摘要;只係一句「audited」或者一張宣傳圖,幫助有限。如果審計只覆蓋 app 安全,未必代表伺服器無記錄;如果只係某一日抽查,亦唔代表長期營運冇變。加上 First VPN 呢類案件提醒咗另一層風險:即使服務平時真係少記錄,一旦內部系統被執法機關或攻擊者掌握,no-log 都唔等於即時流量同帳戶關聯完全不可見。
匿名付款同司法管轄同樣要降溫理解。用加密貨幣、禮品卡或一次性 email,可以減少帳單身份暴露,但唔會抹走裝置指紋、登入習慣、客服紀錄、下載 app 嘅平台帳戶、DNS 設定錯誤,或者你連線去某個服務時留下嘅另一邊紀錄。司法管轄亦唔係「越遠越安全」咁簡單;跨境調查可以透過 Eurojust、Europol、互助法律程序同多國行動進行,First VPN 由 2021 年調查到 2026 年收網,就係一個長時間協作嘅例子。
對香港用家嘅實際啟示
截至目前公開嘅 Europol、Eurojust、荷蘭警方同 FBI 資料,未見香港列入參與行動、支援調查或受影響國家名單;有冇香港帳戶或香港 IP 出現在已分享嘅 506 名用戶情報之中,官方未披露,[待確認]。所以呢件事唔應該寫成「香港 VPN 案件」。但香港用家日常依賴 VPN 嘅場景好多,包括咖啡店 Wi-Fi、旅行上網、跨境工作、訂閱海外服務、保護 ISP 或場地 Wi-Fi 管理員唔易睇到目的網站;呢啲場景入面,VPN 只係把信任由本地網絡轉移到 VPN 供應商,唔係令人喺網上消失。
實用上可以咁篩:
- 個人 VPN:睇 no-log 政策有冇寫明連線記錄、DNS、付款同客服資料點處理。
- 審計:睇報告日期、審計範圍同是否可公開查閱,唔好只睇廣告字眼。
- 付款:匿名付款只減少帳單身份,唔代表整個使用鏈路匿名。
- App:用官方 app、保持更新,避免來歷不明嘅 cracked 版本或「免費加速器」。
- 公司 VPN:只容許受管裝置接入,配合 MFA、最小權限同條件式登入。
- 監察:唔好只靠封 IP,要結合登入地點、異常時段、裝置指紋同行為紀錄。
中小企更要睇遙距接入
First VPN 本身被指係犯罪市場工具,但它映射到香港中小企嘅風險係「遙距入口」。FBI 將相關活動對應到 proxy、外部遠端服務、有效帳戶、網絡服務探索、暴力破解同 DDoS 等手法;呢啲正正係好多公司 VPN、RDP、SSH、NAS、雲端管理介面最容易出事嘅地方。HKCERT 早喺企業 VPN 指引提過,企業 VPN 是支援遙距工作嘅常見技術,但如果無風險評估同緩解措施,就可能引發保安事故;未修補 VPN 裝置被勒索軟件利用,亦可導致資料外洩同名譽損失。
香港已經有本地勒索軟件教訓。HKCERT 2024 年關於香港勒索軟件威脅嘅文章,整理過多宗本地事故,當中包括攻擊者利用 RDP、VPN、缺乏多重認證、管理員帳戶被盜、橫向移動、停用保安工具同破壞備份等情況。呢啲案例同 First VPN 唔係同一宗案,但攻擊鏈條好相似:攻擊者先搵入口,再攞有效帳戶,再喺內部網絡移動,最後加密系統或偷資料勒索。對細公司嚟講,最危險唔係「有冇買 VPN」,而係買完之後當佢係保險箱。
公司 IT team 應該將 VPN 當成高風險入口管理,而唔係單一保安產品。MFA 要覆蓋 VPN、RDP、SSH、雲端管理台同電郵;VPN 裝置、NAS、firewall、身份系統要有固定 patch window;外判商帳戶要有到期日、最小權限同獨立審計紀錄;登入紀錄要保留到足夠長,並同 EDR、SIEM 或至少集中日誌互相對照。更重要係備份要有離線或不可改寫版本,因為勒索軟件攻擊者一旦入到內部,第一件事往往唔係加密,而係搵同破壞備份。
點睇呢宗案
First VPN 案件唔係證明所有 VPN 都唔可信,亦唔係叫香港用家放棄 VPN。它更似一個信任壓力測試:當一間服務以「絕對匿名」「不配合司法」「不保存資料」做賣點,真正要問嘅係技術、營運、法律同審計是否支撐到呢啲承諾。對個人,VPN 仍然可以減低公眾 Wi-Fi 同 ISP 層面嘅暴露,但唔會阻止 phishing、惡意 app、帳戶重用密碼或目的網站記錄你。對公司,VPN 只係入口控制之一,真正保命嘅係身份管理、監察、修補、分段、備份同演練。今次最有用嘅教訓,就係唔好將「no-log」三個字當成整套保安策略。
參考來源
- Ars Technica — Police boast of hacking VPN where criminals "believed themselves to be safe" — original report
- Europol — Cybercriminal VPN used by ransomware actors dismantled in global crackdown — 主要官方公告,確認行動日期、First VPN 被指用途、伺服器拆除、用戶情報同跨國調查結果。
- Eurojust — Eurojust coordinated investigation shuts down criminal VPN network — 司法協調來源,補充 Joint Investigation Team、16 次協調會議、流量資料取得同參與國家。
- Dutch Police — First VPN criminal VPN service taken offline — 荷蘭警方公告,確認警方稱曾接觸用戶流量/通訊資料,以及 First VPN 被指招攬犯罪用戶。
- FBI IC3 — “First VPN Service” Used by Ransomware Actors to Compromise Systems — 技術情報來源,提供 First VPN 活躍年份、出口節點、協議、勒索軟件組織使用情況同防守建議。
- HKCERT — Enterprise VPN Security Guideline — 香港企業 VPN 參考,支援遙距工作、VPN 風險評估、架構加固同監察建議。
- HKCERT — Ransomware's New Front: Uncovering the Latest Threats Facing Hong Kong — 香港勒索軟件背景,整理本地事故中 RDP、VPN、MFA、管理員帳戶同備份相關風險。
- HKCERT — Fight Ransomware — 香港勒索軟件防護入口,提供感染途徑、公司防護、備份、監察同事故處理參考。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







