Praėjusį mėnesį areštavus kelis jos VPN serverius Ukrainoje, saugumo įrankių teikėja “WindScribe” šokiruojančiai atskleidė, kad areštuoti serveriai nebuvo užšifruoti.
Nors “WindScribe” tvirtina, kad naudotojų duomenims pavojus negresia, nes ji neregistruoja jokios veiklos, nešifruotame serveryje buvo “OpenVPN” serverio sertifikatas ir jo privatus raktas.
Tinklaraščio įraše “Windscribe” įkūrėjas Jegoras Sakas pripažįsta, kad bet kas, turintis privačius raktus, galėjo apsimesti “Windscribe” serveriais, kad galėtų fiksuoti ir iššifruoti per juos perduodamą srautą.
“Nors itin jautriuose regionuose turime šifruotus serverius, šiuose serveriuose buvo naudojamas senesnis stekas ir jie nebuvo užšifruoti. Šiuo metu įgyvendiname planą, kaip tai išspręsti”, – rašė Sak.
Netinkamai sukonfigūruoti serveriai
Pasak Sak, konfiskuoti serveriai buvo dalis seno tyrimo dėl daugiau nei prieš metus vykdytos veiklos.
Dalydamasis planais, kaip spręsti incidentą ir tobulinti “Windscribe” OpenVPN infrastruktūrą, Sakas atskleidė, kad jų OpenVPN serverio ir kliento konfigūracijoje buvo naudojamas parametras compress.
Kaip pripažįsta pats Sak, parametras compress buvo panaikintas 2018 m. po to, kai saugumo tyrėjai atskleidė, kad juo galima pasinaudoti ir leisti priešininkams iššifruoti duomenis.
Tačiau “Windscribe” savo ruožtu patikino, kad “neturi pagrindo manyti”, jog serveriai buvo kompromituoti arba kad prieš konfiskavimą įvyko kokia nors neteisėta prieiga.
Be to, Sak pažadėjo, kad trečioji šalis atliks jų pakaitinių serverių steko auditą ir užtikrins, kad jis būtų visiškai patikimas.
Daugiau naujienų
„Microsoft“ žaidimų pajamos padidėjo 61 %, nes dėmesio centre atsidūrė debesų kompiuterija ir dirbtinis intelektas.
„Black Ops 6“ pasiekė didžiausią premjerinį savaitgalį ‚Call of Duty‘ istorijoje
Dauguma dabartinių dirbtinio intelekto technologijų yra 90 proc. rinkodaros, sako Linusas Torvaldsas