Quickfox VPN泄露了100万用户的数据
2021-11-04
来源:嘶吼专业版
免费的虚拟私人网络(VPN)服务商Quickfox提供了从国外访问中国网站的服务,它泄露了超过一百万用户的个人身份信息(PII),这是最近一次的备受关注的VPN安全故障。这一事件让很多安全从业者开始质疑VPN是否是一项已经过时了的技术。
研究人员发现Quickfox错误配置了VPN服务的Elasticsearch、Logstash和Kibana(ELK)安全。研究人员解释说,这三个程序主要是用来进行搜索的。
该报告解释,Quickfox已经在Kibana设置了访问权限,但是没有为他们的Elasticsearch服务器设置同样的安全措施,这意味着,任何人都可以使用浏览器和互联网来访问Quickfox的日志,并提取Quickfox用户的敏感信息。
研究人员发现,中国、印度尼西亚、日本、哈萨克斯坦和美国的Quickfox的用户都受到了影响,并补充说此次共有5亿条记录和100GB的数据被泄露。
报告中提到,被泄露的数据分为两类,主要是电子邮件和电话号码等PII,同时也有大约30万名Quickfox用户设备上的软件信息。
研究人员在报告中说,泄漏的数据暴露了用户设备上安装的其他软件的名称、文件位置、安装日期和版本号。目前还不清楚为什么VPN要收集这些数据,因为这些数据对其功能来说是不必要的,而且这也不是其他VPN服务的标准做法。
VPN有漏洞,但零信任也是个难题
自疫情全球流行以来,为帮助远程工作人员访问其工作系统,各组织对VPN的使用呈爆炸式增长,研究人员说,在最近的搜索中发现仅在美国就有超过一百万的VPN在线。
但是,在Colonial Pipeline等VPN出现安全故障,以及成千上万的Fortinet VPN账户凭证被泄露之后,美国政府决定进行权衡,并发布了关于加固VPN的指导意见,促使企业安装具有强大加密和访问管理的服务。
安全分析师认为,采用零信任的安全模式是解决对VPN依赖的一个很好的办法,但这既昂贵又难以实施。虽然零信任模式可能是一个更安全的解决方案,但采用它将会导致更大的维护和财务成本,许多公司可能会发现使用VPN是更务实的短期解决方案。
但有安全专家认为,VPN需要完全弃用。他们认为这是一个通往内部网络的大门,直接暴露在世界面前,供任何不法分子尝试攻击突破。这些都是一些旧的过时的访问方式,VPN一次又一次地被攻击者攻破,如果证书被泄露或被盗,或发现了新的漏洞,那么该组织的网络就会被攻破。美国政府和NIST正在倡导的新的零信任方法,将这个公共门户关闭,并在整个网络上产生更强有力的保护。
用户的上网行为是一个很大的不安全因素
安全研究人员解释说,员工的行为是另一个很重要的需要考虑的因素。
在未来,我们必须要考虑到人的因素。IT专业人士面临的挑战是如何让员工有效地使用技术。如果VPN太难使用,或使系统变慢,员工很可能就不会使用它。现在重要的是要找到一个快速可靠的VPN解决方案,使员工能尽快的适应它。同时,VPN解决方案在易用性和安全性方面都在持续改进。然而,研究人员指出,IT管理员现在应该要求员工提高网络安全水平,不管这有多烦人。
为了防止员工使用VPN连接,以及便于推广使用另一种更安全的方式,管理员应该使更多的系统使用2FA双因素认证,这意味着他们也可以选择是否在每次登录时使用2FA,这对员工来说更烦人但更安全。定期使用2FA,或在设备被信任后使用,这对员工来说更容易,但不太安全。
研究人员补充说,随着最近的勒索软件的攻击和高知名度的漏洞曝出,如SolarWinds、JBS、Pulse Secure和Kaseya VSA,IT管理员应该考虑使用更安全的技术。这也涉及到如何培训他们的员工去使用较为繁琐的工具,以及向员工解释为什么这些措施是必要的,他们可以做什么来避免自己成为任何类型的安全漏洞的受害者。
令人不安的是,研究人员预测以后可能会有更多的针对VPN的攻击。发现的漏洞会随着时间的推移而越来越多。今后,预计会有更多的基于网络技术的漏洞被披露,因为黑客会继续针对这些类型的设备进行攻击。