О VPN и рисках утечки персональных данных
Утечки данных могут нанести серьезный урон не только компаниям, откуда они были похищены, но и каждому интернет-пользователю в отдельности. Воровство таких данных чревато как краткосрочными, так и долгосрочными рисками в области репутации компании и ее финансов. При этом, хоть за информационную безопасность компаний отдельный юзер ответственности и не несет, однако защита личного компьютера являются его персональной зоной ответственности.
В наше время, благодаря настоятельным требованиям госорганов, документооборот и прочие бизнес-процессы уже не возможны без использования ЭП. Преимущества токена именно в том, что он полностью защищает ваш документооборот от атак мошенников. Несанкционированное раскрытие критически важных данных организации, её клиентов и контрагентов может считаться одним из недопустимых событий (НС) и часто приводит к возникновению других НС, таких как финансовые потери, прерывание бизнес-процессов или работы отдельных систем, а также последующие атаки на контрагентов и другие негативные последствия. Однако, что делать, когда само пользование защищенным соединением, он же VPN, таит в себе потенциальную угрозу утечки?
Не все относятся с должной серьезностью к выбору VPN-сервисов, что часто превращается в проблему. В начале 2021 года обнаружилось, что Super VPN «случайно» раскрыл более 360 млн записей. Утечку обнаружил ИТ-специалист Джеремая Фаулер благодаря тому, что китайский разработчик оставил БД приложения незащищенной и доступной из интернета. Яркий пример простой халатности, которая по многим опросам ИБ является частой причиной утечек. База содержала информацию обо всех платных клиентах сервиса, включая email-адреса, реальные IP-адреса, информацию о геолокации и VPN-серверах, к которым подключались пользователи. Утечка насчитывала 360 308 817 записей и «весила» 133 ГБ. Помимо уже перечисленных выше данных, записи в БД содержали секретные ключи, уникальные идентификаторы пользователей и номера UUID.
Здесь имеет смысл напомнить о преимуществах токена с ЭП по сравнению с облачной ЭП. Если вы пользуетесь токеном, его преимущество в том, что все ключи храняться имеено на нем. Получить доступ к ключаи можно только похитив у вас токен физически. Облачная ЭП может подвергнуться внешней атаке или стать жертвой халатности сотрудников.
Позднее, в том же 2021 году случилось похожее событие. Утекли данные пользователей сервисами FreeVPN.org и DashVPN.io. Оба принадлежат международной компании ActMobile Networks со штаб-квартирой в США. Личные данные пользователей были оставлены на незащищенном сервере системы управления базами данных MongoDB. Позднее на теневых форумах выставили на продажу базу данных 21 млн пользователей бесплатных VPN-сервисов для операционной системы Android. Тогда пострадали пользователи приложений GeckoVPN, SuperVPN и ChatVPN.
Пользователям необходимо выбирать качественные VPN-сервисы, с постоянными обновлениями, а также необходимо ставить уникальные пароли, чтобы в случае утечки мошенники не могли методом подбора получить доступ к другим сервисам с тем же паролем. Мы отлично знаем, как правильно пользоваться ЭП, и все преимущества токена, физического и неотчуждаемого носителя криптографии. Теперь необходимо внести в правила не использовать одинаковые простые, однотипные и предсказуемые «пароли» из имени и дат рождений, названий компаний и года основания.