Что случилось
В своем исследовании vpnMentor выяснил, что семь VPN-приложений обеспечили недостаточный уровень безопасности сервера, на котором хранятся персональные данные пользователей. Все сервисы принадлежат одному разработчику, штаб-квартира которого находится в Гонконге. Общий размер данных, оказавшихся под угрозой, — 1,2 ТБ информации или больше одного миллиарда файлов. Приложения были загружены десятки миллионов раз, что говорит об их популярности среди пользователей. Информация, попавшая в сеть, включала в себя почтовые и домашние адреса, текстовые пароли, IP-адреса, модель устройства, его идентификационный номер.
Жертвами утечки данных могли стать и пользователи из России. Среди последствий невнимательности разработчиков могут быть спам-рассылки, фишинг и прямой шантаж тех, кто использовал VPN для получения доступа к запрещенным в России сайтам. Когда vpnMentor попытался предупредить сервисы, представители компаний либо не вышли на связь, либо отреагировали только спустя несколько дней. Авторы исследования отмечает, что после 15 июля доступ к серверу уже был закрыт.
«C появлением большой аудитории и денег на рекламу, в интернете неизбежно возникло и регулирование. Ресурсы, которые были своего рода символами свободы действий в интернете (Lurkmore, Telegram), длительное время подвергались блокировке. Пользователи захотели скрыть свои действия от 'Большого Брата' и получить доступ к заблокированным ресурсам обратно — поэтому VPN-услуги стали так популярны в России», — рассказывает технический директор компании Retail Rocket Андрей Чиж.
Зачем вообще нужен VPN
VPN — английская аббревиатура словосочетания Virtual Private Network — виртуальная частная сеть. Это общее название технологии, обеспечивающей зашифрованное подключение устройства к сети. VPN работает как бы поверх обычного интернета, поэтому все пользовательские действия сложнее отследить. Самая популярная причина использования VPN — желание получить доступ к контенту, заблокированному по географическому признаку. Например, для того, чтобы получить доступ к Instagram в Китае, некоторые туристы предпочитают установить на смартфон VPN. Обычно VPN-соединение между клиентом и сервером хорошо зашифровано.
Все сервисы, предоставляющие услуги по VPN-соединению, можно разделить на платные и бесплатные. Последние пользуются широкой популярностью среди доверчивых пользователей. Бесплатные сервисы самостоятельно оплатят использование серверов в дата-центрах, разработку приложения и поддержку. Взамен они будут атаковать клиентов рекламой, составлять и продавать их цифровой портрет базам данных. Платные VPN-сервисы не нуждаются во встроенной рекламе и работе со сторонними компаниями, потому что живут за счет абонентской платы. Тем не менее, их честность в отношении соблюдения конфиденциальности данных пользователей проверить сложно.
Александр Буравцов, директор по безопасности компании-разработчика российского офисного ПО МойОфис рассказал, что пользователи доверяют VPN-службам и думают, что после включения защищенного канала их данные в безопасности. Это приводит к тому, что поведение человека становится более беспечным. Он может перестать следить за тем, есть ли у сайта расширение для поддержки шифрования, и станет меньше задумываться о безопасности своих паролей.
«Последние утечки показывают, что использование VPN может быть даже опаснее, чем открытый доступ в сеть. Если без использования VPN в открытой WiFi-сети, не защищенной паролем, злоумышленник должен находиться рядом с жертвой, то при взломе VPN доступ к данным пользователя можно получить из любой точки мира или просто купить их в даркнете. Как оставаться защищенным? Использовать VPN на собственном сервере или выбирать платные VPN-сервисы с безупречной репутацией. При этом никогда не забывать, что ваши данные могут пострадать, даже при включенном VPN» — добавил он.
Утечки — это очень плохо?
Утечки данных — часть цифровой реальности современного мира. В конце 2019 года американский эксперт по кибербезопасности нашел в открытом доступе данные 1,2 млрд человек. И хотя в файле не было паролей и адресов, база содержала информацию из социальных сетей, сайтов по трудоустройству и номера телефонов. В феврале 2020 года в сети обнаружились данные россиян, желающих взять кредит. ФИО, точная сумма, контактные данные и место проживания лежали в свободном доступе 4 дня. Совсем недавно британская авиакомпания EasyJet сообщила об утечке данных 9 млн клиентов, включая сведения о перелетах и данные банковских карт.
По словам Евгения Гнедина, руководителя отдела аналитики информационной безопасности Positive Technologies, утекшие пароли могут быть использованы для подбора учетных данных к другим сервисам жертв злоумышленников, ведь не секрет, что люди часто используют одинаковые пароли ко множеству ресурсов. «Можно сказать, что это наиболее опасная угроза, если, например, пользователь применял тот же пароль к своему основному почтовому ящику. Среди других угроз, которых стоит опасаться жертвам утечки, можно выделить целенаправленный фишинг — желание получить конфиденциальную информацию через электронную почту или SMS-сообщения».
Старший консультант по информационной безопасности Cross Technologies Елизавета Тутова отмечает, что ради слива данных злоумышленники могут намеренно создавать бесплатные VPN-сервисы-ловушки. «Утечку персональных данных всегда следует рассматривать как серьезную угрозу именно потому, что такая информация является наиболее востребованной у злоумышленников и всегда растёт в цене на чёрном рынке, потому как позволяет весьма выгодно использовать её в дальнейшем: от безобидной, но надоедливой рекламы, до кражи денежных средств и даже шантажа, в том числе для получения доступа к коммерческой или государственной тайне».
Как защитить свои данные от утечки
В случае утечки, самое эффективное решение — самое простое. Эксперты советуют поменять пароли везде, где это возможно. Также не лишним будет обратить внимание на более надежные сервисы VPN, пусть они и не будут бесплатными.
«В первую очередь стоит убедиться, что такой же пароль не используется на других ресурсах, сменить его везде, где необходимо. Если пользователь не станет менять приложение для VPN, то, конечно, необходимо сменить и утекший пароль. Лучше выбирать более надежные сервисы VPN, которые обеспечивают должный уровень безопасности данных своих клиентов», — рекомендует Евгений Гнедин.
Андрей Давид, руководитель направления клиентской безопасности провайдера ИТ-инфраструктуры Selectel подчеркивает: «Утечка данных — это серьезный сигнал для того, кто ее допустил. Такие инциденты не всегда приводят к финансовому ущербу. Например, для злоумышленников не представляют ценности временные или одноразовые пароли и данные, по которым нельзя идентифицировать их владельца. Когда скомпрометированы персональные данные, привязанные к ID, по которому можно установить пользователя, — это проблема. Сообщения об утечках персональных данных, пар «логин-пароль» появляются регулярно. Поэтому так важно не использовать одинаковые пароли одновременно в нескольких сервисах или на нескольких устройствах».
Если сброс пароля и смена VPN-сервиса кажутся недостаточной мерой защиты, есть еще несколько решений. «Используйте сервисы, которые не требуют личных данных для регистрации и не хранят логи посещений. Стоит отказаться от использования бесплатных приложений и обратить внимание на надежные крупные бренды. Хорошей идеей будет воспользоваться функцией выхода со всех устройств. Независимо от того, каким сервисом вы пользуетесь, включайте двухфакторную авторизацию: это поможет снизить риск утечки личных данных», — рекомендует Андрей Чиж.
Обратите внимание: сейчас удачное время сделать покупки по специальным ценам со скидками. Чтобы дополнительно сэкономить, посмотрите горящие товары на AliExpress. А самые качественные товары собраны в списке лучших предложений. Если не хотите долго разбираться, все самое интересное в разделе топ-скидок за неделю.
Это тоже интересно: