Обнаружена критическая уязвимость в программном обеспечении VPN, позволяющая удаленный доступ без пароля. Ошибка раскрывает личные и рабочие данные миллионов пользователей, но название пострадавшей компании не разглашается для защиты ее инвесторов. Новость, уже циркулирующая на форумах по безопасности, приходит с опозданием: брешь была активна в течение нескольких месяцев.
Открытый исходный код без аудита — идеальная питательная среда 🔓
Обнаруженный бэкдор находится в реализации протокола аутентификации. Производитель знал об ошибке в течение нескольких месяцев, но отказался платить за баг-баунти, оставив патч в подвешенном состоянии. Многие компании используют бесплатные версии или версии с открытым исходным кодом без аудита безопасности, полагая, что программное обеспечение работает как волшебный щит. Реальность такова, что эти сервисы часто ставят стоимость выше целостности кода, и результат налицо: брешь, позволяющая любому злоумышленнику обойти вход в систему.
Цифровая паника: Netflix не просто смотрят, его смотрят без чужого пароля 📺
Большинство пользователей VPN ищут не безопасность, а обход географических блокировок для просмотра сериалов. И пока они возмущаются этой уязвимостью, стоит помнить, что настоящий бизнес многих бесплатных VPN — продажа вашего трафика. Злоумышленнику не нужно эксплуатировать эту ошибку: он может просто купить ваши записи просмотров у провайдера, который их уже собирает. Безопасность в интернете — это мираж, и такие новости служат лишь для того, чтобы вы купили более дорогую VPN.