О VPN и рисках утечки персональных данных⁠⁠

Утечки данных могут нанести серьезный урон не только компаниям, откуда они были похищены, но и каждому интернет-пользователю в отдельности.  Воровство таких данных чревато как краткосрочными, так и долгосрочными рисками в области репутации компании и ее финансов.  При этом, хоть за информационную безопасность компаний отдельный юзер ответственности  и не несет, однако защита  личного компьютера являются его персональной зоной ответственности.

В наше время, благодаря настоятельным требованиям госорганов, документооборот и прочие бизнес-процессы  уже не возможны без использования ЭП. Преимущества токена именно в том, что он полностью защищает ваш документооборот от атак мошенников. Несанкционированное раскрытие критически важных данных организации, её клиентов и контрагентов может считаться одним из недопустимых событий (НС) и часто приводит к возникновению других НС, таких как финансовые потери, прерывание бизнес-процессов или работы отдельных систем, а также последующие атаки на контрагентов и другие негативные последствия. Однако, что делать, когда само пользование защищенным соединением, он же VPN, таит в себе потенциальную угрозу утечки?

Не все относятся с должной серьезностью к выбору VPN-сервисов, что часто превращается в проблему. В начале 2021 года обнаружилось, что Super VPN «случайно» раскрыл более 360 млн записей.  Утечку обнаружил ИТ-специалист Джеремая Фаулер благодаря тому, что китайский разработчик оставил БД приложения незащищенной и доступной из интернета. Яркий пример простой халатности, которая по многим опросам ИБ является частой причиной утечек. База содержала информацию обо всех платных клиентах сервиса, включая email-адреса, реальные IP-адреса, информацию о геолокации и VPN-серверах, к которым подключались пользователи. Утечка насчитывала 360 308 817 записей и «весила» 133 ГБ. Помимо уже перечисленных выше данных, записи в БД содержали секретные ключи, уникальные идентификаторы пользователей и номера UUID.

Здесь имеет смысл напомнить о  преимуществах токена с ЭП по сравнению с облачной ЭП. Если вы пользуетесь токеном, его преимущество в том, что все ключи храняться имеено на нем. Получить доступ к ключаи можно только похитив у вас токен физически. Облачная ЭП может подвергнуться внешней атаке или стать жертвой халатности сотрудников.

Позднее, в том же  2021 году случилось похожее событие. Утекли данные пользователей сервисами FreeVPN.org и DashVPN.io. Оба принадлежат международной компании ActMobile Networks со штаб-квартирой в США. Личные данные пользователей были оставлены на незащищенном сервере системы управления базами данных MongoDB. Позднее на теневых форумах выставили на продажу базу данных 21 млн пользователей бесплатных VPN-сервисов для операционной системы Android. Тогда пострадали пользователи приложений GeckoVPN, SuperVPN и ChatVPN.

Пользователям необходимо выбирать качественные VPN-сервисы, с постоянными обновлениями, а также необходимо ставить уникальные пароли, чтобы в случае утечки мошенники не могли методом подбора получить доступ к другим сервисам с тем же паролем. Мы отлично знаем, как правильно пользоваться ЭП, и все преимущества токена, физического и неотчуждаемого носителя криптографии. Теперь необходимо внести в правила не использовать одинаковые простые, однотипные и предсказуемые «пароли» из имени и дат рождений, названий компаний и года основания.