Дані 20 млн користувачів VPN-сервісів опинились у відкритому доступі. Заборона розповідає, до чого це може призвести, та як захиститися
Персональні дані 20 млн користувачів безкоштовних VPN-сервісів опинились у відкритому доступі. Відтепер цю інформацію можуть використовувати для спаму, фішингових розсилок, шантажу та навіть переслідування юзерів у країнах із авторитарними режимами і жорсткою цензурою в інтернеті. Журналіст Заборони Самуїл Проскуряков розповідає, як працює VPN і чому не варто довіряти безкоштовним сервісам, які нібито обіцяють анонімність у мережі.
Що сталося?
16 липня дослідницька група vpnMentor повідомила, що у відкритому доступі опинилися персональні дані понад 20 млн користувачів безкоштовних VPN-сервісів. На незахищеному сервері зберігаються дані популярних застосунків зокрема електронні адреси, незашифровані паролі, IP- і домашні адреси, дані про моделі смартфонів та ідентифікатори пристроїв користувачів. Загальний обсяг даних – 1,2 терабайта. Це майже 10 смартфонів місткістю 128 гігабайт або близько 600 годин HD-відео. У багатьох застосунків понад 1 млн завантажень у Google Play і App Store, а рейтинг – вище 4,5.
Кожен із цих VPN-сервісів стверджував, що не вимагає реєстрації користувачів, тобто не мав реєструвати активність юзерів. Але дослідники vpnMentor виявили кілька записів дій користувачів на загальному сервері. Такий витік демонструє повне нехтування правилами безпеки, яке ставить під загрозу користувачів, констатує vpnMentor.
Що таке VPN?
Абревіатура розшифровується як Virtual Private Network, тобто віртуальна приватна мережа. Це загальна назва, яка включає різні мережеві протоколи тунелювання та алгоритми шифрування.
У випадку з вищевказаними сервісами, працює це приблизно так: ви зі свого пристрою (комп’ютера чи телефона) приєднуєтеся до серверів VPN-сервісу, а вже далі до тих ресурсів в інтернеті, які вас цікавлять. Сайт, на який ви прийшли, бачить, що ви завітали із серверів VPN-сервісу, які можуть бути розташовані будь-де, але не знає IP-адреси вашого пристрою. При цьому ваш інтернет-провайдер, який, власне, і видає вашому пристрою цю IP-адресу, бачить, що ви з’єднуєтесь із серверами VPN-провайдера, але не знає, куди ви пішли далі.
Тобто технологія дає змогу приховати вашу IP-адресу та місце розташування, а також зашифрувати ваші інтернет-дані і трафік, аби захиститися від стеження уряду, інтернет-провайдера або кіберзлочинців.
І ніхто не буде знати, на які сайти я заходжу?
Ні, це не так. Власник VPN має такі самі можливості, як і ваш інтернет-провайдер: бачити, які сайти ви відвідуєте, читати всю інформацію, якщо вона передається у незашифрованому вигляді. Тобто, повністю приховати всю інформацію у вас не вийде.
Якщо з інтернет-провайдером ви укладаєте угоду і щонайменше розумієте, що ця юридична особа працює за законодавством України і може бути притягнута до відповідальності, то про власників VPN можете нічого не знати взагалі.
У чому небезпека?
VPN-провайдер може зберігати ваші дані, видавати їх за запитом правоохоронним органам, ділитися ними із рекламодавцями, аналітичними компаніями та корпораціями. Крім того, VPN-провайдер може використовувати менш надійні протоколи та алгоритми, або ж недостатньо надійно захищати дані користувачів, чим можуть скористатися зловмисники. І, звісно ж, злочинці самі можуть видавати себе за безкоштовного VPN-провайдера, наприклад, під виглядом розширення в браузері чи застосунку для смартфона.
На початку 2017 року фахівці Австралійської державної організації наукових і промислових досліджень разом із науковцями з Університету Нового Південного Уельсу та Каліфорнійського університету в Берклі опублікували результати дослідження майже трьохсот VPN-застосунків для Android. Багато з них працювали некоректно. Деякі зовсім не шифрували трафік, інші – стежили за користувачами.
До чого може призвести незахищеність VPN-сервісів?
Дані про сайти, які ви відвідували через несумлінні VPN-сервіси, стануть доступними рекламодавцям, зловмисникам, уряду; вам можуть показувати набридливу рекламу; злочинці через браузерний застосунок перехоплять ваші паролі до соцмереж; товариш майор дізнається, що ви обожнюєте хентай тощо.
Злиті дані VPN-сервісів можуть використати, щоб переслідувати або шантажувати користувачів, які вирішили дістати доступ до заборонених в авторитарних країнах сайтів. Наприклад, у незаконно анексованому Росією Криму ви б не захотіли відвідати сайт Хізб ут-Тахрір без VPN чи проксі. Вочевидь, ризики для українця, який хоче з університетського WiFi зайти на PornHub, і китайського дисидента, що критикує уряд, будуть різними.
Як обрати безпечний VPN?
Передусім треба розуміти модель монетизації VPN-провайдера. У випадку з платним сервісом питань немає: користувач сплачує гроші за використання. І ці кошти покривають технічні витрати, зарплати співробітників. У випадку з безкоштовними рішеннями вигода власників непряма. Такі VPN-провайдери, надто без гучного імені, не просто можуть, а продають інформацію про користувачів рекламодавцям, аналітичним компаніям і корпораціям. І погано захищають ваші дані.
У ГО «Лабораторія цифрової безпеки» рекомендують два рішення. Канадський Psiphon від початку позиціонував себе як інструмент для оминання онлайн-цензури та отримував відповідне грантове фінансування. Деякі платні VPN, як-от TunnelBear, пропонують безкоштовну версію із істотно обмеженими можливостями як спосіб прорекламувати платну версію.
Використання платних VPN також не дає 100% гарантії, але принаймні ви знаєте, що це за компанія, і маєте із ними користувацьку угоду.
Що робити, якщо в мене параноя?
Для вас придумали Tor. Шанси, що всі вузли у ланцюжку, по яким буде текти ваш трафік, контролює зловмисник чи авторитарний уряд – мінімальні. Але відбувається це за суттєво повільнішого та менш стабільного з’єднання, яке важко порівняти зі звичним комфортним для користувача вебсерфінгом.
Як захистити свої персональні дані?
Захист даних – це дуже складний і комплексний процес, в якому є багато нюансів, тому не може бути одного й простого рішення для «захисту даних взагалі».
Безкоштовні VPN завжди несуть більше ризиків. Оберіть платний закордонний сервіс із гарною репутацією та історією. Придбати вигідніше у період «чорної п’ятниці» в кінці року.
Не тримайте на комп’ютері чи телефоні те, чим не користуєтеся, оскільки ситуація весь час змінюється і якийсь перевірений VPN може викупити інша компанія з цілковито відмінними цінностями.
Налаштуйте двофакторну аутентифікацію. «Другий фактор» може приходити і як SMS-повідомлення, і як код підтвердження, що генерується на смартфоні в застосунку, наприклад, Google authenticator. Це істотно підвищить захищеність облікових записів.
У підготовці матеріалу допомагали експерти «Лабораторії цифрової безпеки» Антон Кушнір і Максим Луночкін, а також хактивіст «Українського Кіберальянсу» Шон Таунсенд.
