免费的虚拟私人网络(VPN)服务商Quickfox提供了从国外访问中国网站的服务,它泄露了超过一百万用户的个人身份信息(PII),这是最近一次的备受关注的VPN安全故障。这一事件让很多安全从业者开始质疑VPN是否是一项已经过时了的技术。
研究人员发现Quickfox错误配置了VPN服务的Elasticsearch、Logstash和Kibana(ELK)安全。研究人员解释说,这三个程序主要是用来进行搜索的。
该报告解释,Quickfox已经在Kibana设置了访问权限,但是没有为他们的Elasticsearch服务器设置同样的安全措施,这意味着,任何人都可以使用浏览器和互联网来访问Quickfox的日志,并提取Quickfox用户的敏感信息。
研究人员发现,中国、印度尼西亚、日本、哈萨克斯坦和美国的Quickfox的用户都受到了影响,并补充说此次共有5亿条记录和100GB的数据被泄露。
报告中提到,被泄露的数据分为两类,主要是电子邮件和电话号码等PII,同时也有大约30万名Quickfox用户设备上的软件信息。
研究人员在报告中说,泄漏的数据暴露了用户设备上安装的其他软件的名称、文件位置、安装日期和版本号。目前还不清楚为什么VPN要收集这些数据,因为这些数据对其功能来说是不必要的,而且这也不是其他VPN服务的标准做法。
自疫情全球流行以来,为帮助远程工作人员访问其工作系统,各组织对VPN的使用呈爆炸式增长,研究人员说,在最近的搜索中发现仅在美国就有超过一百万的VPN在线。
但是,在Colonial Pipeline等VPN出现安全故障,以及成千上万的Fortinet VPN账户凭证被泄露之后,美国政府决定进行权衡,并发布了关于加固VPN的指导意见,促使企业安装具有强大加密和访问管理的服务。
安全分析师认为,采用零信任的安全模式是解决对VPN依赖的一个很好的办法,但这既昂贵又难以实施。虽然零信任模式可能是一个更安全的解决方案,但采用它将会导致更大的维护和财务成本,许多公司可能会发现使用VPN是更务实的短期解决方案。
但有安全专家认为,VPN需要完全弃用。他们认为这是一个通往内部网络的大门,直接暴露在世界面前,供任何不法分子尝试攻击突破。这些都是一些旧的过时的访问方式,VPN一次又一次地被攻击者攻破,如果证书被泄露或被盗,或发现了新的漏洞,那么该组织的网络就会被攻破。美国政府和NIST正在倡导的新的零信任方法,将这个公共门户关闭,并在整个网络上产生更强有力的保护。
安全研究人员解释说,员工的行为是另一个很重要的需要考虑的因素。
在未来,我们必须要考虑到人的因素。IT专业人士面临的挑战是如何让员工有效地使用技术。如果VPN太难使用,或使系统变慢,员工很可能就不会使用它。现在重要的是要找到一个快速可靠的VPN解决方案,使员工能尽快的适应它。同时,VPN解决方案在易用性和安全性方面都在持续改进。然而,研究人员指出,IT管理员现在应该要求员工提高网络安全水平,不管这有多烦人。
为了防止员工使用VPN连接,以及便于推广使用另一种更安全的方式,管理员应该使更多的系统使用2FA双因素认证,这意味着他们也可以选择是否在每次登录时使用2FA,这对员工来说更烦人但更安全。定期使用2FA,或在设备被信任后使用,这对员工来说更容易,但不太安全。
研究人员补充说,随着最近的勒索软件的攻击和高知名度的漏洞曝出,如SolarWinds、JBS、Pulse Secure和Kaseya VSA,IT管理员应该考虑使用更安全的技术。这也涉及到如何培训他们的员工去使用较为繁琐的工具,以及向员工解释为什么这些措施是必要的,他们可以做什么来避免自己成为任何类型的安全漏洞的受害者。
令人不安的是,研究人员预测以后可能会有更多的针对VPN的攻击。发现的漏洞会随着时间的推移而越来越多。今后,预计会有更多的基于网络技术的漏洞被披露,因为黑客会继续针对这些类型的设备进行攻击。[来源:嘶吼网]
对于外发给客户(第三方)的文件,可控制对方的打开时间和次数等限制!同时可设置对员工电脑文件自动备份,防止恶意删除造成企业数据的遗失!从源头防控企业数据安全!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...