快连

免费的虚拟私人网络（VPN）服务商Quickfox提供了从国外访问中国网站的服务，它泄露了超过一百万用户的个人身份信息（PII），这是最近一次的备受关注的VPN安全故障。这一事件让很多安全从业者开始质疑VPN是否是一项已经过时了的技术。

研究人员发现Quickfox错误配置了VPN服务的Elasticsearch、Logstash和Kibana（ELK）安全。研究人员解释说，这三个程序主要是用来进行搜索的。

该报告解释，Quickfox已经在Kibana设置了访问权限，但是没有为他们的Elasticsearch服务器设置同样的安全措施，这意味着，任何人都可以使用浏览器和互联网来访问Quickfox的日志，并提取Quickfox用户的敏感信息。

研究人员发现，中国、印度尼西亚、日本、哈萨克斯坦和美国的Quickfox的用户都受到了影响，并补充说此次共有5亿条记录和100GB的数据被泄露。

报告中提到，被泄露的数据分为两类，主要是电子邮件和电话号码等PII，同时也有大约30万名Quickfox用户设备上的软件信息。

研究人员在报告中说，泄漏的数据暴露了用户设备上安装的其他软件的名称、文件位置、安装日期和版本号。目前还不清楚为什么VPN要收集这些数据，因为这些数据对其功能来说是不必要的，而且这也不是其他VPN服务的标准做法。

VPN有漏洞，但零信任也是个难题

自疫情全球流行以来，为帮助远程工作人员访问其工作系统，各组织对VPN的使用呈爆炸式增长，研究人员说，在最近的搜索中发现仅在美国就有超过一百万的VPN在线。

但是，在Colonial Pipeline等VPN出现安全故障，以及成千上万的Fortinet VPN账户凭证被泄露之后，美国政府决定进行权衡，并发布了关于加固VPN的指导意见，促使企业安装具有强大加密和访问管理的服务。

安全分析师认为，采用零信任的安全模式是解决对VPN依赖的一个很好的办法，但这既昂贵又难以实施。虽然零信任模式可能是一个更安全的解决方案，但采用它将会导致更大的维护和财务成本，许多公司可能会发现使用VPN是更务实的短期解决方案。

但有安全专家认为，VPN需要完全弃用。他们认为这是一个通往内部网络的大门，直接暴露在世界面前，供任何不法分子尝试攻击突破。这些都是一些旧的过时的访问方式，VPN一次又一次地被攻击者攻破，如果证书被泄露或被盗，或发现了新的漏洞，那么该组织的网络就会被攻破。美国政府和NIST正在倡导的新的零信任方法，将这个公共门户关闭，并在整个网络上产生更强有力的保护。

用户的上网行为是一个很大的不安全因素

安全研究人员解释说，员工的行为是另一个很重要的需要考虑的因素。

在未来，我们必须要考虑到人的因素。IT专业人士面临的挑战是如何让员工有效地使用技术。如果VPN太难使用，或使系统变慢，员工很可能就不会使用它。现在重要的是要找到一个快速可靠的VPN解决方案，使员工能尽快的适应它。同时，VPN解决方案在易用性和安全性方面都在持续改进。然而，研究人员指出，IT管理员现在应该要求员工提高网络安全水平，不管这有多烦人。

为了防止员工使用VPN连接，以及便于推广使用另一种更安全的方式，管理员应该使更多的系统使用2FA双因素认证，这意味着他们也可以选择是否在每次登录时使用2FA，这对员工来说更烦人但更安全。定期使用2FA，或在设备被信任后使用，这对员工来说更容易，但不太安全。

研究人员补充说，随着最近的勒索软件的攻击和高知名度的漏洞曝出，如SolarWinds、JBS、Pulse Secure和Kaseya VSA，IT管理员应该考虑使用更安全的技术。这也涉及到如何培训他们的员工去使用较为繁琐的工具，以及向员工解释为什么这些措施是必要的，他们可以做什么来避免自己成为任何类型的安全漏洞的受害者。

令人不安的是，研究人员预测以后可能会有更多的针对VPN的攻击。发现的漏洞会随着时间的推移而越来越多。今后，预计会有更多的基于网络技术的漏洞被披露，因为黑客会继续针对这些类型的设备进行攻击。

参考及来源：https://threatpost.com/vpn-exposes-data-1m/175612/