Egy sor olyan VPN szolgáltató kényszerülhet magyarázkodásra, amiért bár hivatalosan nem naplózzák a felhasználói tevékenységeket, azonban szervereiken biztonsági kutatók nemrég több terabájtnyi szenzitív felhasználói adatot találtak, amelyek ráadásul bárki számára szabadon elérhetőek voltak az interneten keresztül. Minden azzal kezdődött, hogy a hónap elején a Comparitech biztonsági kutatója 894 gigabájtnyi adatot talált az UFO VPN egy biztosítatlan Elasticsearch klaszterében. Az adatok olyan érzékeny információkat tartalmaztak, mint például felhasználói fiók jelszavak szabad szöveges formában, VPN session tokenek, az ügyfelek és a VPN szerverek IP címei, a felépült kapcsolatok időbélyegei, helyzeti adatok, sőt, azon domainek is tárolásra kerültek, amelyekről hirdetések jelentek meg a felhasználók böngészőjében. Mindez szöges ellentétben áll az UFO VPN felhasználási feltételeiben foglaltakkal, miszerint a szolgáltatás nem követi nyomon a felhasználók tevékenységét. Ezt követően a VPNmentor biztonsági csapata további hat ─ hongkongi központú ─ VPN szolgáltatót (FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN) azonosított, amelyek felhasználói adatokat szivárogtattak ugyanabból az Elasticsearch adatbázisból. A szolgáltatók, bár értesítésre kerültek a problémáról, az UFO VPN-t leszámítva eleddig nem léptek az ügyben. Utóbbi egyébként a koronavírus okozta személyi változásokat nevezte meg annak okaként, hogy elmaradt az adatbázis biztosítása; a logok létéről pedig azt közölték, hogy azokat kizárólag forgalmi teljesítményfigyelés céljából gyűjtötték, és tagadták, hogy jelszavak is tárolásra kerültek volna.