Чем опасна утечка персональных данных?
Действительно, анонимайзеры позволяют скрывать данные об устройствах пользователя даже от собственного провайдера Интернета. Однако сами по себе приложения пропускают через себя весь входящий и исходящий трафик, а значит, знают о своих клиентах буквально все. «Сейчас VPN-сервисы довольно популярны, и приобретенная популярность влияет на то, что мошенники значительный аспект выделяют VPN-сервисам, – объясняет эксперт комиссии по развитию информационного общества в Совете Федерации, главный разработчик сайта Кремля Артем Геллер. – И самая основная проблема – это, конечно, утечка данных: начиная от персональных – фамилия, имя, отчество, разное наше местоположение – и заканчивая данными кредитных карт, логинов и паролей от любых сайтов и приложений. Потому что весь траффик человека идет через VPN, ну и там он довольно легко дешифруется, если этот сервис предоставляют мошенники. Шансы столкнуться с этим довольно высокие, особенно неподготовленному пользователю».
Здесь важно понимать, что VPN-сервис – это софт, у которого есть конкретные разработчики. В момент установки устройство запрашивает владельца о степени доверия новой программе и возможность открыть ей все уровни доступа. Не согласиться нельзя. Но если все привычные приложения имеют лицензии и конкретное имя создателя, то абсолютное большинство сервисов VPN имеют туманное происхождение.
«Суть VPN – это перенаправление вашего интернет-соединения через серверы в различных точках земного шара с целью подменить ваше местоположение и тем самым обойти защиту по GEO-блоку либо адресу конкретного ресурса у провайдеров, либо у целевого ресурса, – объясняет руководитель Центра предотвращения киберугроз CyberART ГК Innostage Антон Кузьмин. – Более половины популярных VPN-приложений в магазинах для iOS и Android расположены в Китае. Хотя, как известно, официально VPN в этой стране запрещен».
Таим образом пользователь не знает, кто создал программу-анонимайзер, которую он устанавливает и которой всецело доверяет. И в этом кроются огромные риски, самый ничтожный среди которых – продажа персональных данных маркетологам для таргетированной рекламы. Это распространенный бизнес условно добросовестных разработчиков VPN, о чем они даже открыто предупреждают в пользовательских соглашениях. Недобросовестные же создатели подобных программ – об их количестве можно только гадать, но, судя по растущему числу жертв кибератак, речь – о более чем значительном проценте – идут куда далее и вшивают в VPN дополнительный функционал. Проще говоря, вирус, возможности которого безграничны: жертва сама велела устройству полностью доверять приложению.
Так, в 2018 году специалисты «Лаборатории Касперского» разоблачили VPN-сервис, который скрытно «майнил» криптовалюту. При этом сервис следил за нагревом устройств и притормаживал деятельность, чтобы как можно дольше оставаться незамеченным. К моменту выявления проблемы приложение скачали более 100 тысяч человек.
Спустя 4 года жалобы пользователей VPN на сверхбыструю разрядку смартфонов и необходимость подзарядки по 5 раз на дню, а также сверхъестественную выборку оплаченного интернет-трафика сохраняются. Проблема именно в том, что софт сомнительного происхождения тратил ресурсы на подпольную деятельность.
Другой массив жалоб в отечественных социальных сетях посвящен утечке медиафайлов из личных переписок. У кого-то это были интимные снимки и последовавший шантаж, кого-то по открытым источникам поймали на измене, а у москвички Полины и вовсе снимки детей обнаружились на порноресурсе. Вот что она пишет: «У меня есть друг, назовём его условно IT-шником (на самом деле его профиль намного шире, но он разбирается во всех этих торах, даркнетах, анонимайзерах и т.д.). Так вот, пока все обсуждали слив баз персональных данных Яндекс.Еды, СДЭКа и иже с ними, он мне написал, в курсе ли я, что моих детей продают (?!) в сети. И прислал скрин с превьюшками фоток Майки (9 лет) и Никитоса (13 лет). У меня просто челюсть отвисла. Сами по себе снимки невинные, сделаны, когда мы были на море. Ну то есть ничего там такого нет, всё прилично, в купальниках. Но факт в том, что я сама нигде в сети эти фотки не светила, отправляла родне в мессенджерах и через директ той же Инсты. И получается, что кем-то эти сообщения были перехвачены и выставлены на продажу для извращенцев со всего мира! Если честно, я до сих пор ошарашена, тянет блевать и хочется мыться и мыть детей от возвращения к этим мыслям».
В утечке фотоснимков Полина винит VPN. Однако достать их злоумышленники могли даже и не из переписок. Как объясняет IT-эксперт Артем Геллер, кратчайший путь злоумышленников до медиатек жертв – это облачные хранилища: «Технически это возможно: подключение к непонятному Wi-Fi в кафе очень похоже на VPN, через эту сеть мы передаем все».
Другая москвичка рассказала в ВК, как, завладев данными ее 59-летней матери, мошенники вывели с банковского счета все средства. «Она современный образованный человек советской закалки, – пишет про маму Марина. – На телефонных мошенников не ведется, по непонятным ссылкам не серфит и на незнакомых ресурсах банковскую карту не светит […] Как теперь выясняется, началось все тогда, когда я собственноручно установила маме VPN. Цель банальная: чтобы она, как и прежде, могла смотреть наши публикации в Инсте. Причем уже тогда мама волновалась, а я – дура – убеждала ее, что все безопасно и ок. Так вот: не безопасно и не ок!».
А у столичного предпринимателя Константина мошенники через логин и пароль от личного кабинета налоговой службы украли фирму. Бизнесмен также винит в случившемся VPN: «ООО «СКиФ», где я являюсь основателем, единственным собственником и единственным же сотрудником, каким-то непостижимым образом наняла аж четырех директоров, – делится Константин. – Затем наем сотрудников продолжился и распространился уже за пределы Москвы в регионы, а на мою фирму стали открывать новые ОКВЭДы. Все это я узнал из выписки ЕГРОЮЛ».
Получается, что в современном цифровом мире нечистые на руку обладатели чужих персональных данных целиком владеют жертвой и способны реализовать любые мошенничества: от воровства личных и интимных переписок до кражи собственности и имущества. То есть риски установки VPN значительно выше и куда опаснее, нежели назойливые звонки рекламщиков, способных обратиться к пострадавшему по имени и отчеству.
На этом фоне продолжающаяся в России полемика о допустимости использования VPN не выглядит столь однозначно. Получается, что никто не запрещает посещать официально заблокированные ресурсы. Но стоит ли овчинка выделки – вопрос как бы риторический. Во всяком случае у состоявшихся жертв мошенников ответ четкий: не стоит.