- Статьи
- Интернет и технологии
- Отдать передачу: эксперты предупредили о риске утечек данных при использовании VPN-сервисов
Отдать передачу: эксперты предупредили о риске утечек данных при использовании VPN-сервисов
Использование VPN-сервисов грозит передачей личной информации пользователей третьим лицам. Собранные персональные данные затем могут перепродаваться, передаваться на фишинговые сайты, а также использоваться для кибератак. Подробности о том, какие риски несет в себе использование VPN-сервисов и как защититься от подобных угроз, — в материале «Известий».
В зоне риска
О том, что при использовании VPN-сервисов существует угроза передачи личной информации пользователей третьим лицам, рассказал руководитель команды разработки Gem Space Ваге Закарян. По его словам, используя для доступа в интернет VPN, важно понимать отличия в степени конфиденциальности передаваемых данных при использовании подобных сервисов по сравнению с обычным соединением.
«Передача данных через VPN не контролируется привычными интернет-провайдерами, и можно сказать, что за безопасность персональных данных в этом случае никто не отвечает. Данные в открытом виде попадают к владельцу VPN-сервера», — отметил эксперт.
Как говорит в беседе с «Известиями» начальник отдела безопасности сетевых технологий компании «Информзащита» Павел Меркурьев, VPN в широком смысле используется для сокрытия информации при передаче по открытым каналам связи, в том числе по интернету. Технология VPN использует криптографические преобразования, основными целями которых являются конфиденциальность и целостность передаваемых сведений.
— Принцип сети VPN заключается в маскировании IP-адресов пользователей и шифровании данных, — объясняет руководитель управления разработки компании «Контур» Алексей Кирпичников. — При этом в момент активации VPN-сервис позволяет пользователю выбрать IP-адрес другой страны.
В погоне за анонимностью
По словам руководителя группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергея Полунина, VPN-сервис позволяет перенаправить весь или выборочный трафик с компьютера пользователя или мобильного телефона на сервер поставщика услуги, а уже затем передать его адресату. При этом весь трафик до этого сервера будет зашифрован.
— Это, к примеру, может быть необходимо в случае, если пользователь не доверяет той сети, к которой подключен, — например, в кафе или гостинице, — рассказывает собеседник «Известий». — При этом данные, которые он собирается передать, весьма важны и критичны.
Как объясняет Полунин, основной риск заключается в том, что данные на стороне поставщика услуги VPN могут быть расшифрованы, что делает всю схему бесполезной. А если пользователь применяет VPN, чтобы его провайдер не отследил, какие сайты он посещает, то и в этом случае вся анонимность оказывается также в руках поставщика услуги.
По словам Павла Меркурьева, при использовании публичных VPN-сервисов необходимо понимать, что поставщик услуг VPN может просматривать, собирать и хранить данные, а также менять данные, передаваемые от сервера или клиента в случае с незащищенными протоколами — такими как dns, http, ftp, telnet, реализуя атаку «человек посередине». Сценарии использования собранных данных могут быть различными: от продажи информации о пользователях и перенаправления на фишинговые сайты для сбора учетных записей до атак на устройство пользователя в случае использования зараженного сайта.
— Миру известно множество случаев утечек пользовательских данных при использовании VPN, — говорит Алексей Кирпичников. — Например, в конце 2021 года СМИ сообщали, что в открытый доступ попали данные с устройств 45,5 млн пользователей мобильных VPN-сервисов, из них на россиян пришлось порядка 800 тыс. Такие сервисы могут украсть ваши логины и пароли, IP-адреса и адреса e-mail, а также данные о совершенных платежах.
Дилемма выбора
По мнению Алексея Кирпичникова, если пользователь беспокоится о сохранности персональных данных, то ему стоит задуматься, пользоваться ли VPN-сервисами вообще. Если же такая необходимость всё же есть, специалист советует обходить стороной бесплатные приложения.
— Если VPN-сервис бесплатный, это значит, что он зарабатывает каким-то другим способом — возможно, продает ваши данные в обезличенном или даже не обезличенном виде третьим сторонам, — предупреждает собеседник «Известий».
Как отмечает специалист, известные платные VPN-сервисы с этой точки зрения надежнее: они публикуют свою политику работы с персональными данными и регулярно проходят проверку известных аудиторских компаний. С этим согласен и Ваге Закарян: по словам специалиста, в отличие от бесплатных VPN-сервисов платные не так активно занимаются сбором и продажей персональной информации в рекламных целях.
Впрочем, по словам Сергея Полунина, выбор поставщика услуг VPN — это сложная задача: нужно изучить историю компании, а также обратить внимание на то, как часто она проходит аудит информационной безопасности, какие у нее отзывы и т.д. Лучше остановиться на 2–3 поставщиках, чтобы иметь возможность выбора. При этом стоит обращать внимание и на число загрузок конкретного приложения — эту информацию можно увидеть в официальных магазинах.
Большое число загрузок Ваге Закарян называет одним из индикаторов относительно безопасного с точки зрения утечки данных VPN-сервиса. А вот сервисам с небольшим числом загрузок доверять не стоит. Как отмечает Павел Меркурьев, теоретически пользователь может самостоятельно развернуть свой личный VPN-сервер в другой стране — но и это не гарантирует безопасность данных. При таком сценарии, среди прочего, встает вопрос доверия к провайдеру, у которого пользователь намерен арендовать мощности для создания VPN-сервера.
Правила безопасности
Какой бы VPN-сервис не выбрал пользователь, специалисты советуют при его использовании соблюдать ряд правил безопасности. К примеру, по словам Ваге Закаряна, пользователь сам должен ограничивать пересылку важной личной информации при таком подключении — например, не стоит отправлять через VPN номера банковских карт, логины, пароли или паспортные данные.
Кроме того, специалист напоминает, что у пользователей есть возможность вручную ограничить доступ VPN-сервису к некоторым функциям устройства, на которое оно устанавливается. Например, можно запретить доступ к геолокации или камере: они совсем необязательны для доступа к сети, но могут использоваться злоумышленниками для сбора конфиденциальной информации о пользователе.
— При использовании стороннего VPN-сервиса для шифрования данных между сервером и клиентом прежде всего нужно обращать внимание на ошибки браузера и на то, что соединение не защищено, — это говорит о возможной атаке на соединение HTTPS/TLS, — объясняет Павел Меркурьев.
Эксперт также советует всегда проверять доменное имя сайта, к которому подключается пользователь, а также цифровой сертификат сервера: название сайта в адресной строке браузера и имя сайта, указанное в сертификате, должны совпадать. По словам собеседника «Известий», важно также использовать DNS-серверы провайдера пользователя, «Яндекс» или Google в настройках VPN-соединения — это позволит избежать подмены запрашиваемого сайта.
Наконец, специалист призывает запретить перенаправления в браузере и всегда устанавливать обновления безопасности и актуальную версию программного обеспечения для защиты устройства от атак и устранения ошибок. Если же при использовании VPN-сервиса у пользователя всё же начались проблемы, Сергей Полунин советует прежде всего отключиться от него.
— Затем нужно обратиться в поддержку провайдера VPN и описать ситуацию, — рекомендует эксперт. — И, наконец, нужно проанализировать, какие данные вы успели отправить и какими сервисами воспользовались. Возможно, потребуется оперативно сменить пароли к отдельным сервисам.