Что случилось
В своем исследовании vpnMentor выяснил, что семь VPN-приложений обеспечили недостаточный уровень безопасности сервера, на котором хранятся персональные данные пользователей. Все сервисы принадлежат одному разработчику, штаб-квартира которого находится в Гонконге. Общий размер данных, оказавшихся под угрозой, — 1,2 ТБ информации или больше одного миллиарда файлов. Приложения были загружены десятки миллионов раз, что говорит об их популярности среди пользователей. Информация, попавшая в сеть, включала в себя почтовые и домашние адреса, текстовые пароли, IP-адреса, модель устройства, его идентификационный номер.
Жертвами утечки данных могли стать и пользователи из России. Среди последствий невнимательности разработчиков могут быть спам-рассылки, фишинг и прямой шантаж тех, кто использовал VPN для получения доступа к запрещенным в России сайтам. Когда vpnMentor попытался предупредить сервисы, представители компаний либо не вышли на связь, либо отреагировали только спустя несколько дней. Авторы исследования отмечает, что после 15 июля доступ к серверу уже был закрыт.
«C появлением большой аудитории и денег на рекламу, в интернете неизбежно возникло и регулирование. Ресурсы, которые были своего рода символами свободы действий в интернете (Lurkmore, Telegram), длительное время подвергались блокировке. Пользователи захотели скрыть свои действия от 'Большого Брата' и получить доступ к заблокированным ресурсам обратно — поэтому VPN-услуги стали так популярны в России», — рассказывает технический директор компании Retail Rocket Андрей Чиж.
![Фото: Unsplash Фото: Unsplash](https://resizer.mail.ru/p/cc386a6d-3376-57e3-b882-10beb1b0df0e/AQAKq06a1bIFcSTFMCDILf8A-OtPvZ0HeM5-1isv9aSOWm0CqzWSFsERAe59p1XaJpEgK3tyDA6CrgYTfZXR7_5nvdc.jpg)
Зачем вообще нужен VPN
VPN — английская аббревиатура словосочетания Virtual Private Network — виртуальная частная сеть. Это общее название технологии, обеспечивающей зашифрованное подключение устройства к сети. VPN работает как бы поверх обычного интернета, поэтому все пользовательские действия сложнее отследить. Самая популярная причина использования VPN — желание получить доступ к контенту, заблокированному по географическому признаку. Например, для того, чтобы получить доступ к Instagram в Китае, некоторые туристы предпочитают установить на смартфон VPN. Обычно VPN-соединение между клиентом и сервером хорошо зашифровано.
Все сервисы, предоставляющие услуги по VPN-соединению, можно разделить на платные и бесплатные. Последние пользуются широкой популярностью среди доверчивых пользователей. Бесплатные сервисы самостоятельно оплатят использование серверов в дата-центрах, разработку приложения и поддержку. Взамен они будут атаковать клиентов рекламой, составлять и продавать их цифровой портрет базам данных. Платные VPN-сервисы не нуждаются во встроенной рекламе и работе со сторонними компаниями, потому что живут за счет абонентской платы. Тем не менее, их честность в отношении соблюдения конфиденциальности данных пользователей проверить сложно.
Александр Буравцов, директор по безопасности компании-разработчика российского офисного ПО МойОфис рассказал, что пользователи доверяют VPN-службам и думают, что после включения защищенного канала их данные в безопасности. Это приводит к тому, что поведение человека становится более беспечным. Он может перестать следить за тем, есть ли у сайта расширение для поддержки шифрования, и станет меньше задумываться о безопасности своих паролей.
«Последние утечки показывают, что использование VPN может быть даже опаснее, чем открытый доступ в сеть. Если без использования VPN в открытой WiFi-сети, не защищенной паролем, злоумышленник должен находиться рядом с жертвой, то при взломе VPN доступ к данным пользователя можно получить из любой точки мира или просто купить их в даркнете. Как оставаться защищенным? Использовать VPN на собственном сервере или выбирать платные VPN-сервисы с безупречной репутацией. При этом никогда не забывать, что ваши данные могут пострадать, даже при включенном VPN» — добавил он.
![Фото: Unsplash Фото: Unsplash](https://resizer.mail.ru/p/09b51a5f-db67-5a22-a8c0-763f6c091f15/AQAKmaLPlXNo_3GhHJp3jOxoJcBZoENhnpa-rl-MxcFYr3GgUcHvxGsIm1-GOnXGE3w5jg-s3KZVlp6xiDMcBF5tn34.jpg)
Утечки — это очень плохо?
Утечки данных — часть цифровой реальности современного мира. В конце 2019 года американский эксперт по кибербезопасности нашел в открытом доступе данные 1,2 млрд человек. И хотя в файле не было паролей и адресов, база содержала информацию из социальных сетей, сайтов по трудоустройству и номера телефонов. В феврале 2020 года в сети обнаружились данные россиян, желающих взять кредит. ФИО, точная сумма, контактные данные и место проживания лежали в свободном доступе 4 дня. Совсем недавно британская авиакомпания EasyJet сообщила об утечке данных 9 млн клиентов, включая сведения о перелетах и данные банковских карт.
По словам Евгения Гнедина, руководителя отдела аналитики информационной безопасности Positive Technologies, утекшие пароли могут быть использованы для подбора учетных данных к другим сервисам жертв злоумышленников, ведь не секрет, что люди часто используют одинаковые пароли ко множеству ресурсов. «Можно сказать, что это наиболее опасная угроза, если, например, пользователь применял тот же пароль к своему основному почтовому ящику. Среди других угроз, которых стоит опасаться жертвам утечки, можно выделить целенаправленный фишинг — желание получить конфиденциальную информацию через электронную почту или SMS-сообщения».
Старший консультант по информационной безопасности Cross Technologies Елизавета Тутова отмечает, что ради слива данных злоумышленники могут намеренно создавать бесплатные VPN-сервисы-ловушки. «Утечку персональных данных всегда следует рассматривать как серьезную угрозу именно потому, что такая информация является наиболее востребованной у злоумышленников и всегда растёт в цене на чёрном рынке, потому как позволяет весьма выгодно использовать её в дальнейшем: от безобидной, но надоедливой рекламы, до кражи денежных средств и даже шантажа, в том числе для получения доступа к коммерческой или государственной тайне».
Как защитить свои данные от утечки
В случае утечки, самое эффективное решение — самое простое. Эксперты советуют поменять пароли везде, где это возможно. Также не лишним будет обратить внимание на более надежные сервисы VPN, пусть они и не будут бесплатными.
![Фото: Depositphotos Фото: Depositphotos](https://resizer.mail.ru/p/4fb9e5c5-bae6-56d6-851e-f6d20860de6e/AQAKFk79PDqiCdetQ1qLnPWHIKGFMNEeZl9hwdOX6-PQdfGqsacJat-N9Nz0CBc1Prv05AZSj6moQxt4Bv-GFCcfLZo.jpg)
«В первую очередь стоит убедиться, что такой же пароль не используется на других ресурсах, сменить его везде, где необходимо. Если пользователь не станет менять приложение для VPN, то, конечно, необходимо сменить и утекший пароль. Лучше выбирать более надежные сервисы VPN, которые обеспечивают должный уровень безопасности данных своих клиентов», — рекомендует Евгений Гнедин.
Андрей Давид, руководитель направления клиентской безопасности провайдера ИТ-инфраструктуры Selectel подчеркивает: «Утечка данных — это серьезный сигнал для того, кто ее допустил. Такие инциденты не всегда приводят к финансовому ущербу. Например, для злоумышленников не представляют ценности временные или одноразовые пароли и данные, по которым нельзя идентифицировать их владельца. Когда скомпрометированы персональные данные, привязанные к ID, по которому можно установить пользователя, — это проблема. Сообщения об утечках персональных данных, пар «логин-пароль» появляются регулярно. Поэтому так важно не использовать одинаковые пароли одновременно в нескольких сервисах или на нескольких устройствах».
Если сброс пароля и смена VPN-сервиса кажутся недостаточной мерой защиты, есть еще несколько решений. «Используйте сервисы, которые не требуют личных данных для регистрации и не хранят логи посещений. Стоит отказаться от использования бесплатных приложений и обратить внимание на надежные крупные бренды. Хорошей идеей будет воспользоваться функцией выхода со всех устройств. Независимо от того, каким сервисом вы пользуетесь, включайте двухфакторную авторизацию: это поможет снизить риск утечки личных данных», — рекомендует Андрей Чиж.
Обратите внимание: сейчас удачное время сделать покупки по специальным ценам со скидками. Чтобы дополнительно сэкономить, посмотрите горящие товары на AliExpress. А самые качественные товары собраны в списке лучших предложений. Если не хотите долго разбираться, все самое интересное в разделе топ-скидок за неделю.
Это тоже интересно: