Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе. Заборона рассказывает, к чему это может привести и как защититься | Заборона
Вы читаете
Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе. Заборона рассказывает, к чему это может привести и как защититься

Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе. Заборона рассказывает, к чему это может привести и как защититься

Персональные данные 20 млн пользователей бесплатных VPN-сервисов оказались в открытом доступе. Теперь эту информацию могут использовать для спама, фишинговых рассылок, шантажа и даже преследования пользователей в странах с авторитарными режимами и жесткой цензурой в интернете. Журналист Забороны Самуил Проскуряков рассказывает, как работает VPN и почему не стоит доверять бесплатным сервисам, которые якобы обещают анонимность в сети.

Что случилось?

16 июля исследовательская группа vpnMentor сообщила, что в открытом доступе оказались персональные данные более 20 млн пользователей бесплатных VPN-сервисов. На незащищенном сервере хранятся данные популярных приложений, в частности электронные адреса, незашифрованные пароли, IP- и домашние адреса, данные о моделях смартфонов и идентификаторы устройств пользователей. Общий объем данных – 1,2 терабайта. Это почти 10 смартфонов вместимостью 128 гигабайт или около 600 часов HD-видео. У многих приложений более 1 млн загрузок в Google Play и App Store, а рейтинг – выше 4,5.

Каждый из этих VPN-сервисов утверждал, что не требует регистрации пользователей, то есть не должен был регистрировать активность юзеров. Но исследователи vpnMentor обнаружили несколько записей действий пользователей на общем сервере. Такая утечка демонстрирует полное игнорирование правил безопасности, которое ставит под угрозу пользователей, констатирует vpnMentor.

Icons8 / Natasha Remarchuk

Что такое VPN?

Аббревиатура расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. Это общее название, которое включает различные сетевые протоколы туннелирования и алгоритмы шифрования.

В случае с вышеуказанными сервисами, работает это примерно таким образом: вы с устройства (компьютера или телефона) присоединяетесь к серверам VPN-сервиса, а потом к интересующим вас ресурсам в интернете. Сайт, который вы посетили, видит, что вы пришли с серверов VPN-сервиса, которые могут быть расположены в любом месте, но не знает IP-адреса устройства. При этом ваш интернет-провайдер, который, собственно, и выдает вашему устройству этот IP-адрес, видит, что вы соединяетесь с серверами VPN-провайдера, но не знает, куда вы пошли дальше.

То есть технология позволяет скрыть ваш IP-адрес и место расположения, а также зашифровать ваши интернет-данные и трафик, чтобы защититься от слежки правительства, интернет-провайдера или киберпреступников.

И никто не будет знать, на какие сайты я захожу?

Нет, это не так. У владельца VPN есть такие же возможности, как и у вашего интернет-провайдера: он может видеть, какие сайты вы посещаете, читать всю информацию, если она передается в незашифрованном виде. Следовательно, полностью скрыть всю информацию у вас не получится.

Если с интернет-провайдером вы заключаете соглашение и как минимум понимаете, что это юридическое лицо работает по законодательству Украины и может быть привлечено к ответственности, то о владельцах VPN вы можете ничего не знать вообще.

В чем опасность?

VPN-провайдер может хранить ваши данные, выдавать их по запросу правоохранительных органов, делиться ими с рекламодателями, аналитическими компаниями и корпорациями. Кроме того, VPN-провайдер может использовать менее надежные протоколы и алгоритмы, или же недостаточно надежно защищать данные пользователей, чем могут воспользоваться злоумышленники. И, конечно же, преступники сами могут выдавать себя за бесплатного VPN-провайдера, например, под видом расширения в браузере или приложения для смартфона.

В начале 2017 года специалисты Австралийского государственного объединения научных и прикладных исследований совместно с учеными из Университета Нового Южного Уэльса и Калифорнийского университета в Беркли опубликовали результаты исследования почти трехсот VPN-приложений для Android. Многие из них работали некорректно. Некоторые вовсе не шифровали трафик, другие – следили за пользователями.

Материал подготовлен при помощи экспертов «Лаборатории цифровой безопасности» Антона Кушнира и Максима Луночкина, а также хактивиста «Украинского Киберальянса» Шона Таунсенда.

Наверх