A járvány miatt távmunkában dolgozók közül egyre többen használják a virtuális privát hálózatokat (VPN). A hiperbiztosnak vélt rendszerről viszont kiderült, hogy innen is kiszivároghatnak a felhasználói adatok.
A VPN-ről eddig az volt köztudott, hogy élenjár az adatvédelemben, és a szolgáltatók nem is tárolnak a felhasználókról adatokat. Ez a kijelentés azonban nem atombiztos. Kiderült ki ugyanis, hogy a közelmúltban hozzávetőlegesen 20 millió felhasználóhoz tartozó körülbelül 1 milliárd adatbázis rekord szivárgott ki VPN cégektől.
A privát jelző nem jelent névtelenséget
A VPN applikációja titkosítja az eszköz és a cég szerverei közötti teljes hálózati forgalmat, dekódolja, majd onnan kiküldi az internetre, amivel így valóban elfedi az adatcsomagok valódi forrását és megnehezíti azt, hogy nyomon kövessék.
Valójában azonban a VPN “privát” része nem igazán arról szól, hogy névtelenné válna a felhasználó, vagy másnak adná ki magát a hálózat használatával. Sőt, ha már valaha is használtunk céges VPN-t, tisztában vagyunk azzal, hogy a vállalat VPN-jéhez pontosan azonosítani kell magunkat jelszóval vagy egy 2FA tokennel, mellyel a cég megállapítja a személyazonosságunkat.
A forgalom sem marad névtelen, miután beléptünk a céges hálózat virtuális erődjébe. A VPN tudja, hogy ki vagy és látja, hogy mit csinálsz, még akkor is, ha a routerek, amelyeken keresztülhaladnak a titkosított VPN csomagok, nincsenek tisztában ezekkel az információkkal. Ez jó dolog, mivel így csak azokkal a személyekkel osztjuk meg a céges hálózatot, akiknek ott helye van, vagy legalábbis ezt reméljük, és akik felelősségre vonhatók, nem úgy, mint a vadidegenek.
Jogszabályok kötelezhetik a szolgáltatókat, hogy naplózzák a felhasználót
Számos VPN-szolgáltató állítja azt, hogy egyáltalán nem naplózik, így pedig nem rendelkezhet ellenünk szóló anyagokkal, amelyeket átadhatnak arra nem illetékeseknek is. Ám több ország olyan jogi előírásokkal rendelkezik, ahol a hatóságok kötelezhetik a szolgáltatót arra, hogy bizonyos személyekről naplót vezessen, sőt arra is, hogy ezt a tényt titokban tartsa.
Természetesen néhány VPN biztosítani fog arról, hogy ez nem történhet meg velük, mert a cégeik olyan országokban vannak bejegyezve, ahol ilyen jogi rendelkezések nem léteznek. Így tehát azt kellene feltételeznünk, hogy bármit, amit tudnak a forgalmunkról, soha nem mentenek le állandó formában, sem véletlenül, sem szándékosan.
A valóság azonban más mutat: pár napja rengeteg felhasználói naplóra bukkantak hét Hongkongból szolgáltató VPN cégnél. Hozzávetőlegesen 20 millió felhasználóhoz tartozó körülbelül 1 milliárd adatbázis rekord szivárgott ki (felhasználónként átlagosan 50 elem).
Ezek között előfordultak tevékenységi naplók, személyi azonosító adatok (nevek, email címek, otthoni címek), titkosítatlan jelszavak, Bitcoin fizetési információk, ügyfélszolgálati üzenetek, személyi eszközök információi, technikai specifikációk, fiókinformációk, közvetlen Paypal API linkek.
Mit tehet a felhasználó?
A rizikó csökkentése érdekében a témát felvető Sophos IT-biztonsági cég az alábbiakra figyelmeztet:
- Egyetlen VPN sem varázsol névtelenné vagy változtatja meg a személyazonosságodat, amikor használod. Az általad meglátogatott weboldalak ugyan nem látják a valódi hálózati pozíciódat, de ne feledd, hogy ettől még ugyanaz a személy maradsz a böngésző előtt ülve!
- A VPN bekapcsolása olyan, mintha internetszolgáltatót váltanál. A VPN szolgáltatód ugyanúgy látja a forgalmadat, és azt is hogy honnan származik, mintha az internetszolgáltatód lenne. Fontos figyelembe venni, hogy a VPN-t biztosító cégre más törvények vonatkozhatnak, mint a hétköznapi internetszolgáltatókra.
- Ha a felhőben tárolsz adatokat, sose állítsd publikusra a beállításokat, kivéve akkor, ha kimondottan a nyilvánosságnak szánod az adatokat. Tartsd fejben: alapból zárolj mindent; ne tölts fel olyasmit, amit megígértél, hogy bizalmasan kezelsz, és ne gyűjts olyasmit, amire azt mondtad, hogy nem fogod állandó jelleggel tárolni.
