Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе. Заборона рассказывает, к чему это может привести и как защититься
Персональные данные 20 млн пользователей бесплатных VPN-сервисов оказались в открытом доступе. Теперь эту информацию могут использовать для спама, фишинговых рассылок, шантажа и даже преследования пользователей в странах с авторитарными режимами и жесткой цензурой в интернете. Журналист Забороны Самуил Проскуряков рассказывает, как работает VPN и почему не стоит доверять бесплатным сервисам, которые якобы обещают анонимность в сети.
Что случилось?
16 июля исследовательская группа vpnMentor сообщила, что в открытом доступе оказались персональные данные более 20 млн пользователей бесплатных VPN-сервисов. На незащищенном сервере хранятся данные популярных приложений, в частности электронные адреса, незашифрованные пароли, IP- и домашние адреса, данные о моделях смартфонов и идентификаторы устройств пользователей. Общий объем данных – 1,2 терабайта. Это почти 10 смартфонов вместимостью 128 гигабайт или около 600 часов HD-видео. У многих приложений более 1 млн загрузок в Google Play и App Store, а рейтинг – выше 4,5.
Каждый из этих VPN-сервисов утверждал, что не требует регистрации пользователей, то есть не должен был регистрировать активность юзеров. Но исследователи vpnMentor обнаружили несколько записей действий пользователей на общем сервере. Такая утечка демонстрирует полное игнорирование правил безопасности, которое ставит под угрозу пользователей, констатирует vpnMentor.
Что такое VPN?
Аббревиатура расшифровывается как Virtual Private Network, то есть виртуальная частная сеть. Это общее название, которое включает различные сетевые протоколы туннелирования и алгоритмы шифрования.
В случае с вышеуказанными сервисами, работает это примерно таким образом: вы с устройства (компьютера или телефона) присоединяетесь к серверам VPN-сервиса, а потом к интересующим вас ресурсам в интернете. Сайт, который вы посетили, видит, что вы пришли с серверов VPN-сервиса, которые могут быть расположены в любом месте, но не знает IP-адреса устройства. При этом ваш интернет-провайдер, который, собственно, и выдает вашему устройству этот IP-адрес, видит, что вы соединяетесь с серверами VPN-провайдера, но не знает, куда вы пошли дальше.
То есть технология позволяет скрыть ваш IP-адрес и место расположения, а также зашифровать ваши интернет-данные и трафик, чтобы защититься от слежки правительства, интернет-провайдера или киберпреступников.
И никто не будет знать, на какие сайты я захожу?
Нет, это не так. У владельца VPN есть такие же возможности, как и у вашего интернет-провайдера: он может видеть, какие сайты вы посещаете, читать всю информацию, если она передается в незашифрованном виде. Следовательно, полностью скрыть всю информацию у вас не получится.
Если с интернет-провайдером вы заключаете соглашение и как минимум понимаете, что это юридическое лицо работает по законодательству Украины и может быть привлечено к ответственности, то о владельцах VPN вы можете ничего не знать вообще.
В чем опасность?
VPN-провайдер может хранить ваши данные, выдавать их по запросу правоохранительных органов, делиться ими с рекламодателями, аналитическими компаниями и корпорациями. Кроме того, VPN-провайдер может использовать менее надежные протоколы и алгоритмы, или же недостаточно надежно защищать данные пользователей, чем могут воспользоваться злоумышленники. И, конечно же, преступники сами могут выдавать себя за бесплатного VPN-провайдера, например, под видом расширения в браузере или приложения для смартфона.
В начале 2017 года специалисты Австралийского государственного объединения научных и прикладных исследований совместно с учеными из Университета Нового Южного Уэльса и Калифорнийского университета в Беркли опубликовали результаты исследования почти трехсот VPN-приложений для Android. Многие из них работали некорректно. Некоторые вовсе не шифровали трафик, другие – следили за пользователями.
К чему может привести незащищенность VPN-сервисов?
Данные о сайтах, на которые вы заходили с помощью недобросовестных VPN-сервисов, станут доступными рекламодателям, злоумышленникам, правительствам; вам могут показывать надоедливую рекламу; преступники через браузерное приложение перехватят ваши пароли к соцсетям; товарищ майор узнает, что вы обожаете хентай и тому подобное.
Слитые данные VPN-сервисов могут использовать, чтобы преследовать или шантажировать пользователей, которые решили получить доступ к запрещенным в авторитарных странах сайтам. Например, в незаконно аннексированном Россией Крыму вы бы не захотели посетить сайт Хизб ут-Тахрир без VPN или прокси. Очевидно, риски для украинца, который хочет с университетского WiFi зайти на PornHub, и китайского диссидента, критикующего правительство, будут разными.
Как выбрать безопасный VPN?
Прежде всего нужно понимать модель монетизации VPN-провайдера. В случае с платным сервисом вопросов нет: пользователь платит деньги за использование. И эти средства покрывают технические расходы, зарплаты сотрудников. В случае с бесплатными решениями выгода владельцев косвенная. Такие VPN-провайдеры, особенно без громкого имени, не просто могут, а продают информацию о пользователях рекламодателям, аналитическим компаниям и корпорациям. И плохо защищают ваши данные.
В ОО «Лаборатория цифровой безопасности» рекомендуют два решения. Канадский Psiphon изначально позиционировал себя как инструмент для обхода онлайн-цензуры и получал соответствующее грантовое финансирование. Некоторые платные VPN, например, TunnelBear, предлагают бесплатную версию с существенно ограниченными возможностями как способ прорекламировать платную версию.
Использование платных VPN также не дает 100% гарантии, но вы хотя бы знаете, что это за компания, и имеете с ней пользовательское соглашение.
Что делать, если у меня паранойя?
Для вас придумали Tor. Шансы, что все узлы в цепочке, по которым будет течь ваш трафик, контролирует злоумышленник или авторитарное правительство – минимальны. Но на выходе вы имеете значительно более медленное и менее стабильное соединение, которое трудно сравнить с привычным и комфортным для пользователя веб-серфингом.
Как защитить свои персональные данные?
Защита данных – очень сложный и комплексный процесс, подразумевающий много нюансов, поэтому не может быть одного и простого решения для «защиты данных в целом».
Бесплатные VPN всегда несут больше рисков. Выберите платный зарубежный сервис с хорошей репутацией и историей. Покупать его выгоднее в период «черной пятницы» в конце года.
Не храните на компьютере или телефоне то, чем не пользуетесь, поскольку ситуация все время меняется и какой-то проверенный VPN может выкупить другая компания с совсем иными ценностями.
Настройте двухфакторную аутентификацию. «Второй фактор» может приходить и как SMS-сообщение, и как код подтверждения, который генерируется на смартфоне в приложении, например, Google authenticator. Это существенно повысит защиту учетных записей.
Материал подготовлен при помощи экспертов «Лаборатории цифровой безопасности» Антона Кушнира и Максима Луночкина, а также хактивиста «Украинского Киберальянса» Шона Таунсенда.
