VPN Mengekspos Data untuk 1 Juta Pengguna, Menyebabkan Pertanyaan Peneliti

Layanan jaringan pribadi virtual (VPN) gratis Quickfox, yang menyediakan akses ke situs web China dari luar negeri, mengungkap informasi pengenal pribadi (PII) lebih dari satu juta pengguna hanya dalam kegagalan keamanan VPN profil tinggi terbaru.

Insiden ini memiliki beberapa praktisi keamanan mempertanyakan apakah VPN adalah teknologi usang.

Peneliti di WizCase menemukan bahwa Quickfox salah mengonfigurasi keamanan tumpukan Elasticsearch, Logstash, dan Kibana (ELK) layanan VPN. Trio program membantu mengelola pencarian, laporan tersebut menjelaskan.

“Quickfox telah mengatur pembatasan akses dari Kibana tetapi belum mengatur langkah-langkah keamanan yang sama untuk server Elasticsearch mereka,” menurut laporan tersebut. “Ini berarti siapa pun yang memiliki browser dan koneksi internet dapat mengakses log Quickfox dan mengekstrak informasi sensitif tentang pengguna Quickfox.”

Pengguna Quickfox di China, Indonesia, Jepang, Kazakhstan, dan AS terpengaruh, para peneliti menemukan, menambahkan bahwa total 500 juta catatan dan 100GB data terungkap.

Data yang bocor jatuh ke dalam salah satu dari dua kategori, kata laporan itu — PII seperti email dan nomor telepon — tetapi juga informasi tentang perangkat lunak pada perangkat sekitar 300.000 pengguna Quickfox.

“Data dari kebocoran memperlihatkan nama-nama perangkat lunak lain yang diinstal pada perangkat pengguna, serta lokasi file, tanggal pemasangan, dan nomor versi. Tidak jelas mengapa VPN mengumpulkan data ini, karena tidak diperlukan untuk prosesnya, dan ini bukan praktik standar yang terlihat pada layanan VPN lainnya,” kata para peneliti dalam laporan tersebut.

VPNs Rentan, Tapi Zero-Trust adalah Kerumitan pandemi, penggunaan VPN oleh organisasi telah meledak untuk membantu pekerja jarak jauh mengakses sistem yang diperlukan untuk melakukan pekerjaan mereka. Archie Agarwal, CEO ThreatModeler, mengatakan kepada Threatpost bahwa pencarian terbarunya mengidentifikasi lebih dari satu juta VPN online di AS saja. Pemerintah AS memutuskan untuk mempertimbangkan dan mengeluarkan panduan tentang pengerasan VPN, termasuk mencari layanan dengan enkripsi dan manajemen akses yang kuat. Layanan yang secara aktif menambal kerentanan yang diketahui juga merupakan nilai tambah.

Mengadopsi model keamanan tanpa kepercayaan adalah salah satu solusi untuk ketergantungan pada VPN, tetapi itu mahal dan sulit untuk diterapkan, Chris Morgan, analis Digital Shadows, mengatakan kepada Threatpost.

“ Sementara model zero-trust memang bisa menjadi solusi yang lebih aman, penerapannya akan menghasilkan biaya logistik dan keuangan yang lebih besar, ”kata Morgan. “Banyak perusahaan kemungkinan akan menganggap penggunaan VPN secara berkelanjutan sebagai solusi jangka pendek yang lebih pragmatis.”

Tetapi Agarwal berpendapat bahwa VPN harus sepenuhnya digunakan.

“Ini adalah pintu ke jaringan internal sensitif pribadi dan sedang duduk di sana terpapar ke dunia untuk apa pun penjahat untuk mencoba menerobos,” kata Agarwal kepada Threatpost. “Ini mewakili paradigma perimeter lama dan telah gagal melindungi kastil bagian dalam berulang kali. Jika kredensial bocor atau dicuri, atau kerentanan baru ditemukan, permainan berakhir dan kastil jatuh. Pendekatan zero-trust baru yang diadvokasi oleh pemerintah Amerika Serikat dan NIST menjadikan pintu publik ini offline dan membuat selubung tak terlihat di seluruh jaringan.”

Perilaku Pengguna Pengemudi Besar

Perilaku pengguna karyawan adalah pertimbangan besar lainnya, Heather Paunet, wakil presiden senior di Untangle, dijelaskan kepada Threatpost.

“Ke depan, kita harus mempertimbangkan elemen manusia,” kata Paunet. “Profesional TI ditantang untuk membuat karyawan menggunakan teknologi secara efektif. Jika VPN terlalu sulit untuk digunakan, atau memperlambat sistem, kemungkinan besar karyawan akan mematikannya. Tantangan bagi profesional TI adalah menemukan solusi VPN yang cepat dan andal sehingga karyawan dapat menyalakannya sekali dan melupakannya.”

Paunet menambahkan bahwa solusi VPN terus ditingkatkan baik dalam kemudahan penggunaan maupun keamanan.

Namun, Timur Kovalev memberi tahu Threatpost bahwa sudah waktunya bagi administrator TI untuk meminta karyawan meningkatkan permainan keamanan siber mereka, terlepas dari betapa menjengkelkannya itu.

“Untuk memerangi karyawan yang tidak selalu menggunakan koneksi VPN, dan memberikan lapisan keamanan lain, administrator tampaknya membutuhkan 2FA [dua- otentikasi faktor] untuk lebih banyak sistem daripada yang mereka miliki sebelumnya, ”katanya. “Artinya, mereka juga dapat memilih apakah akan menggunakan 2FA untuk setiap login, yang lebih ‘mengganggu’ bagi karyawan namun lebih aman, atau menggunakan 2FA secara berkala, atau setelah perangkat dipercaya, yang lebih mudah bagi karyawan namun kurang aman. .”

Kovalev menyarankan kepada Threatpost bahwa taruhannya terlalu tinggi untuk mengabaikan perilaku pengguna.

“Dengan serangan ransomware baru-baru ini dan pelanggaran profil tinggi, seperti SolarWinds, JBS, Pulse Secure, dan Kaseya VSA, administrator TI harus mempertimbangkan untuk menggunakan yang lebih aman pilihan,” tambah Kovalev. “Ini juga akan melibatkan pelatihan karyawan mereka cara menavigasi alat yang kurang mudah digunakan serta menjelaskan kepada karyawan mengapa tindakan ini diperlukan dan apa yang dapat mereka lakukan untuk tidak menjadi korban dari segala jenis pelanggaran keamanan.”

Mengerikan, Tyler Shields dengan JupiterOne memprediksi lebih banyak serangan VPN yang akan datang.

“Penemuan eksploitasi cenderung mengelompok dari waktu ke waktu,” Shields memberi tahu Threatpost. “Ke depan, saya berharap eksploitasi berbasis teknologi jaringan tambahan akan diungkapkan karena peretas terus menargetkan jenis perangkat tersebut.”

Wagiman Wiryosukiro

Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

You may also like...