Цивилизация
Во вторник, 6 марта, в СМИ появилась информация о том, что некий баг позволяет читать личную переписку пользователей «ВКонтакте». Один из пользователей сети обнаружил, что можно получить доступ к приватным сообщениям через сервис статистики SimilarWeb.
В результате пострадали 400 пользователей российской социальной сети. Впрочем, как рассказали «Газете.Ru» в пресс-службе «ВКонтакте», найденный баг не является уязвимостью самой платформы, и компания за него ответственность не несет.
Не доверяйте сомнительным разработчикам
По словам представителя «ВКонтакте», утечка произошла из-за того, что сторонние разработчики имеют доступ к открытому API (программному интерфейсу — «Газета.Ru») социальной сети.
«Доступ может быть запрошен, в том числе к личной переписке, например, для создания альтернативных клиентов для мессенджера «ВКонтакте». При этом пользователь самостоятельно в явном виде разрешает доступ к своим сообщениям при использовании подобных приложений», — сообщили «Газете.Ru» в пресс-службе.
Команда «ВКонтакте» предполагает, что некоторые разработчики могли злоупотребить этими правами и передать данные в SimilarWeb. Всего известно о 400 пользователей, которые добровольно дали права небезопасным приложениям, тем самым поставив под угрозу сохранность личной переписки.
После более детального анализа виновник утечки был назван более конкретно — переписку пользователей «слили» ненадежные VPN-сервисы, которые передают данные третьим лицам, в том числе и статистическим ресурсам, на которых эти данные могут легко оказаться в общем доступе.
Такая информация может включать в себя не только сообщения, но и историю посещений или банковские реквизиты.
«В процессе проверки сотрудники «ВКонтакте» изучили данные о сетевых запросах пользователей, доступные на SimilarWeb. Среди них обнаружились, например, ключи доступа к API ботов в Telegram (используя такой ключ, можно отправить любое сообщение от имени чужого бота), история поисковых запросов с сайтов американского ФБР и российского правительства, а также названия неанонсированных проектов с закрытого корпоративного ресурса крупной игровой компании, которую представители социальной сети предпочли не называть», — говорится в официальном отчете социальной сети.
Чтобы защититься от подобных утечек, представители «ВКонтакте» рекомендуют не пользоваться VPN-сервисами от неизвестных разработчиков. Напомним, использование VPN для входа во «ВКонтакте» является одним из способов посещения платформы на Украине в связи с запретом российских социальных сетей.
Ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян рассказал RT, что причиной утечки стала ошибка реализации самого API.
«Если у вас утекают ключи к API, сторонний человек не должен получать доступ к внутреннему ресурсу. Я надеюсь, что такие случаи заставят компанию немного более аккуратно относиться к реализации API и функции безопасности. Они правы, что причиной является активность сторонних приложений, но, наверное, предусмотреть такой сценарий можно», — прокомментировал эксперт РАЭК.
Под прикрытием Facebook
Впрочем, «проверенные» VPN-сервисы тоже не всегда гарантируют полную прозрачность. В начале текущей недели стало известно о том, что виртуальный VPN от компании Facebook, который называется Protect, собирает личные данные пользователей и передает их напрямую компании Марка Цукерберга.
Protect был куплен Facebook в 2013 году, после чего встроен непосредственно в социальную сеть. Активировав соответствующую кнопку, пользователь мог воспользоваться VPN, который шифрует весь интернет-трафик.
Как выяснилось, Protect собирает данные о том, сколько трафика пользователь тратит ежедневно, включая Wi-Fi-соединения, а также отслеживает, с какой частотой включается и отключается экран смартфона.
Кроме того, сервис может узнать мобильного оператора, телефонный код страны, геолокацию и язык операционной системы пользователя.
Что характерно, VPN-сервис собирает эту информацию даже в том случае, если само приложение находится в выключенном состоянии.
Сбор данных Protect по своей сути противоречит принципам VPN-приложений, которые были созданы для сохранения приватности пользователя. Многие авторитетные IT-издания открыто не рекомендуют пользоваться этим приложением.
Бесплатный сыр — только в мышеловке
Руководитель направления информационной безопасности компании КРОК Андрей Заикин рассказал корреспонденту «Газеты.Ru», что непроверенные VPN-сервисы опасны тем, что способны перехватывать информацию, которую отправляют пользователи со своих компьютеров или мобильных устройств по сети.
«Ирония заключается в том, что сервисы и системы VPN изначально задумывались как средства защиты от перехвата информации и сохранения ее конфиденциальности. Но в руках злоумышленников они способны выполнять диаметрально противоположные задачи», — поделился эксперт.
«Газета.Ru» также связалась с руководителем вирусной лаборатории Avast Якубом Кроустеком, который подтвердил, что
если VPN-сервис получает доступ к данным клиента, передаваемым через их службу, и передает их третьим лицам, продукт, который они предоставляют, то он становится полностью неэффективным и нарушает принципы доверия.
При выборе VPN-сервиса эксперт посоветовал изучить людей, стоящих за продуктом, их послужной список и опыт в области безопасности и конфиденциальности.
«Не нужно бояться задавать дополнительные вопросы — добросовестный VPN-поставщик должен ответить на все вопросы, чтобы пользователь чувствовал себя уверенно и знал, что его данные надежно защищены», — заявил Кроустек.
Руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов отметил, что, доверяя трафик бесплатным VPN-сервисам, пользователь должен быть готов, что за предполагаемую анонимность и безопасность может заплатить персональными данными.
С платными сервисами дела обстоят попроще — с ними пользователь заключает договор, в котором прописано, что провайдер не имеет права предоставлять данные третьим лицам. Таким образом, в случае необходимости использования VPN, наиболее безопасным представляется коммерческий сервис с хорошей репутацией.
