Сервис инструментов конфиденциальности Windscribe, базирующийся в Канаде сообщил, что не смог зашифровать корпоративные VPN-серверы, которые были недавно конфискованы властями в Украине.
Компания предоставляет в стране услуги с помощью OpenVPN. Приложение для Android насчитывает более 5 миллионов установок, что указывает на то, что пользовательская база, вероятно, гораздо большая.
«24 июня 2021 года наши системы мониторинга уведомили нас о том, что два сервера в Украине отключились. При взаимодействии с нашим поставщиком этих серверов мы были проинформированы о том, что эти два сервера захвачены в рамках расследования деятельности, имевшей место за 12 месяцев до этого», — говорится в сообщении компании.
Представитель Windscribe, Егор Сак, отвечая на вопросы комментаторов издания Ars Technika, рассказал, что поводом для изъятия серверов стал инцидент, не касающийся их деятельности: «Кто-то якобы выдал себя за государственного служащего и украл 10 тысяч долларов у украинского агентства социальных услуг. Год спустя серверы были конфискованы местными властями».
Украинский хостинг-провайдер не сообщил канадцам о предварительном слушании, которое состоялось в начале этого года, в ходе которого было вынесено решение об аресте двух серверов.
«У нас нет оснований полагать, что серверы были взломаны или что до их конфискации имел место какой-либо несанкционированный доступ», — пишут канадцы. Они уверены, что никакие данные клиентов их VPN с этих серверов во время работы не подвергаются риску.
Но есть проблема. На диске этих двух серверов был сертификат сервера OpenVPN и его закрытый ключ.
«Хотя у нас есть зашифрованные серверы в регионах с высокой степенью защиты, на этих серверах был установлен устаревший стек и они не были зашифрованы. В настоящее время мы принимаем наш план решения этой проблемы», — говорится в сообщении.
Как пишут канадцы, в крайне ограниченных случаях субъект, обладающий закрытым ключом, имея доступ к сетевых ресурсам жертвы, может выдавать себя за сервер Windscribe VPN и захватывать трафик туннеля VPN, проходящий через него. И украинские власти, по мнению канадцев, имеют гипотетическую возможность выдать себя за сервер Windscribe OpenVPN.
Сейчас сервис в срочном порядке меняет шифрование.