免費的虛擬私人網(wǎng)絡（VPN）服務商Quickfox提供了從國外訪問中國網(wǎng)站的服務，它泄露了超過一百萬用戶的個人身份信息（PII），這是最近一次的備受關注的VPN安全故障。這一事件讓很多安全從業(yè)者開始質疑VPN是否是一項已經(jīng)過時了的技術。

　　研究人員發(fā)現(xiàn)Quickfox錯誤配置了VPN服務的Elasticsearch、Logstash和Kibana（ELK）安全。研究人員解釋說，這三個程序主要是用來進行搜索的。

　　該報告解釋，Quickfox已經(jīng)在Kibana設置了訪問權限，但是沒有為他們的Elasticsearch服務器設置同樣的安全措施，這意味著，任何人都可以使用瀏覽器和互聯(lián)網(wǎng)來訪問Quickfox的日志，并提取Quickfox用戶的敏感信息。

　　研究人員發(fā)現(xiàn)，中國、印度尼西亞、日本、哈薩克斯坦和美國的Quickfox的用戶都受到了影響，并補充說此次共有5億條記錄和100GB的數(shù)據(jù)被泄露。

　　報告中提到，被泄露的數(shù)據(jù)分為兩類，主要是電子郵件和電話號碼等PII，同時也有大約30萬名Quickfox用戶設備上的軟件信息。

　　研究人員在報告中說，泄漏的數(shù)據(jù)暴露了用戶設備上安裝的其他軟件的名稱、文件位置、安裝日期和版本號。目前還不清楚為什么VPN要收集這些數(shù)據(jù)，因為這些數(shù)據(jù)對其功能來說是不必要的，而且這也不是其他VPN服務的標準做法。

　　VPN有漏洞，但零信任也是個難題

　　自疫情全球流行以來，為幫助遠程工作人員訪問其工作系統(tǒng)，各組織對VPN的使用呈爆炸式增長，研究人員說，在最近的搜索中發(fā)現(xiàn)僅在美國就有超過一百萬的VPN在線。

　　但是，在Colonial Pipeline等VPN出現(xiàn)安全故障，以及成千上萬的Fortinet VPN賬戶憑證被泄露之后，美國政府決定進行權衡，并發(fā)布了關于加固VPN的指導意見，促使企業(yè)安裝具有強大加密和訪問管理的服務。

　　安全分析師認為，采用零信任的安全模式是解決對VPN依賴的一個很好的辦法，但這既昂貴又難以實施。雖然零信任模式可能是一個更安全的解決方案，但采用它將會導致更大的維護和財務成本，許多公司可能會發(fā)現(xiàn)使用VPN是更務實的短期解決方案。

　　但有安全專家認為，VPN需要完全棄用。他們認為這是一個通往內部網(wǎng)絡的大門，直接暴露在世界面前，供任何不法分子嘗試攻擊突破。這些都是一些舊的過時的訪問方式，VPN一次又一次地被攻擊者攻破，如果證書被泄露或被盜，或發(fā)現(xiàn)了新的漏洞，那么該組織的網(wǎng)絡就會被攻破。美國政府和NIST正在倡導的新的零信任方法，將這個公共門戶關閉，并在整個網(wǎng)絡上產(chǎn)生更強有力的保護。

　　用戶的上網(wǎng)行為是一個很大的不安全因素

　　安全研究人員解釋說，員工的行為是另一個很重要的需要考慮的因素。

　　在未來，我們必須要考慮到人的因素。IT專業(yè)人士面臨的挑戰(zhàn)是如何讓員工有效地使用技術。如果VPN太難使用，或使系統(tǒng)變慢，員工很可能就不會使用它?，F(xiàn)在重要的是要找到一個快速可靠的VPN解決方案，使員工能盡快的適應它。同時，VPN解決方案在易用性和安全性方面都在持續(xù)改進。然而，研究人員指出，IT管理員現(xiàn)在應該要求員工提高網(wǎng)絡安全水平，不管這有多煩人。

　　為了防止員工使用VPN連接，以及便于推廣使用另一種更安全的方式，管理員應該使更多的系統(tǒng)使用2FA雙因素認證，這意味著他們也可以選擇是否在每次登錄時使用2FA，這對員工來說更煩人但更安全。定期使用2FA，或在設備被信任后使用，這對員工來說更容易，但不太安全。

　　研究人員補充說，隨著最近的勒索軟件的攻擊和高知名度的漏洞曝出，如SolarWinds、JBS、Pulse Secure和Kaseya VSA，IT管理員應該考慮使用更安全的技術。這也涉及到如何培訓他們的員工去使用較為繁瑣的工具，以及向員工解釋為什么這些措施是必要的，他們可以做什么來避免自己成為任何類型的安全漏洞的受害者。

　　令人不安的是，研究人員預測以后可能會有更多的針對VPN的攻擊。發(fā)現(xiàn)的漏洞會隨著時間的推移而越來越多。今后，預計會有更多的基于網(wǎng)絡技術的漏洞被披露，因為黑客會繼續(xù)針對這些類型的設備進行攻擊。