VPN-сервис Windscribe не использовал шифрование для своих VPN-серверов, изъятых СБУ

VPN-сервис Windscribe не использовал шифрование для своих VPN-серверов, изъятых СБУ

Благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать трафик.  

Канадский производитель VPN-сервиса Windscribe не использовал шифрование для защиты своих VPN-серверов, недавно изъятых Службой безопасности Украины (СБУ). Именно благодаря отсутствию шифрования СБУ удалось подделать серверы Windscribe, перехватывать и расшифровывать проходящий через них трафик.

Ранее в этом месяце компания Windscribe сообщила , что два ее сервера, расположенные на территории Украины, были изъяты в рамках расследования инцидента, имевшего место год назад. Серверы, на которых было запущено ПО OpenVPN, были сконфигурированы таким образом, чтобы использовать устаревшие настройки, признанные уязвимыми еще в 2018 году (уязвимость позволяла третьим сторонам расшифровывать данные).

«На диске одного из этих двух серверов был сертификат сервера OpenVPN и его закрытый ключ. Хотя мы шифруем серверы в особо чувствительных регионах, конкретно на этих двух был запущен устаревший стек и не использовалось шифрование. В настоящее время мы вводим в действие план по устранению этой проблемы», - сообщила Windscribe в своем уведомлении от 8 июля.

Признание Windscribe подчеркивает риски, связанные с бурным ростом числа VPN-сервисов в последние годы, многие из которых связаны с неизвестными компаниями.

Помимо отсутствия шифрования, для улучшения сетевой производительности Windscribe также использует компрессию данных. В 2018 году на конференции Black Hat в Лас-Вегасе была представлена атака Voracle, предполагающая использование подсказок, оставленных в результате компрессии данных, передаваемых через OpenVPN. Спустя несколько месяцев разработчики OpenVPN отказались от этой функции.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!