Поставщик инструментов для обеспечения конфиденциальности Windscribe заявил, что не зашифровал VPN-серверы компании, которые недавно были конфискованы властями Украины, что позволило им выдать себя за серверы Windscribe, перехватить и расшифровать проходящий через них трафик.
В начале этого месяца компания из Онтарио, сообщила, что два сервера, размещенные на Украине, были изъяты в рамках расследования. Серверы, на которых работало программное обеспечение OpenVPN были настроены на использование параметра, который был отключен в 2018 году после того, как исследования в области безопасности выявили уязвимости, которые могли позволить злоумышленникам расшифровать данные.4
«На диске этих двух серверов находился сертификат сервера OpenVPN и его закрытый ключ», — написал представитель Windscribe.
«Хотя у нас есть зашифрованные серверы в регионах с высокой чувствительностью, те, о которых идёт речь, работали на устаревшем стеке и не были зашифрованы. В настоящее время мы принимаем план по решению этой проблемы».
Никаких гарантий
Признание Windscribe подтверждает риски, связанные с бурным ростом числа VPN-сервисов в последние годы, многие из которых представляют компании, о которых мало кто слышал ранее. Люди используют VPN, чтобы перенаправить свой интернет-трафик через зашифрованный туннель, чтобы люди, подключенные к одной и той же сети, не смогли прочитать или подделать данные, или определить IP-адреса двух общающихся сторон.
Не следуя стандартной для отрасли практике, Windscribe в значительной степени свела на нет все гарантии безопасности. Компания попыталась преуменьшить последствия, описав требования, которые должен выполнить злоумышленник. Но не для того существуют VPN-сервисы, чтобы их зашифрованные данные можно было заполучить проделав определённый ряд шагов.
Опоздали на три года
Помимо отсутствия шифрования, компания также использует сжатие данных для повышения производительности сети. Исследование, представленное на конференции по безопасности Black Hat 2018 в Лас-Вегасе, обнаружило угрозу, известную как Voracle, которая использует подсказки, оставленные при сжатии, для расшифровки данных, защищённых VPN на базе OpenVPN. Через несколько месяцев OpenVPN отказался от этой функции.
Неизвестно, сколько активных пользователей у сервиса на данный момент. Однако данные о приложении для Android насчитывается более 5 миллионов установок, что говорит о том, что пользовательская база достаточно велика.
Изъятие серверов Windscribe подчеркивает важность соблюдения базовой политики безопасности VPN, которую не соблюдала компания. Это, в свою очередь, подчеркивает риски, возникающие, когда люди полагаются на малоизвестные или непроверенные сервисы.
Ещё по теме: