ทางการเนเธอร์แลนด์ได้ยึดเซิร์ฟเวอร์ VPN ของ Windscribe ที่ตั้งอยู่ในประเทศ โดยเป็นส่วนหนึ่งของการสอบสวนที่ไม่เปิดเผย Windscribe ซึ่งเป็นผู้ให้บริการจากแคนาดา ระบุว่าการออกแบบที่เน้นความเป็นส่วนตัวของตน (เซิร์ฟเวอร์แบบ RAM-only ที่ลบข้อมูลทั้งหมดเมื่อปิดเครื่อง) ทำให้ไม่สามารถกู้คืนข้อมูลใดๆ ได้ บริษัทได้เปิดเผยเหตุการณ์ดังกล่าวผ่านโซเชียลมีเดีย และยืนยันว่านโยบายการไม่บันทึกข้อมูล (no-logs policy) ของพวกเขาได้รับการตรวจสอบโดยอิสระ และรายงานความโปร่งใสของพวกเขายืนยันว่าไม่มีข้อมูลผู้ใช้ให้ส่งมอบ แม้จะมีความพยายามจากหน่วยงานบังคับใช้กฎหมาย เหตุการณ์นี้เน้นย้ำถึงกลยุทธ์ของหน่วยงานบังคับใช้กฎหมายที่เพิ่มขึ้นในการตรวจสอบ VPN แต่โครงสร้างของ Windscribe แสดงให้เห็นถึงความยืดหยุ่นในการปกป้องความเป็นส่วนตัวของผู้ใช้
Severity: ปานกลาง
System Impact:
- เซิร์ฟเวอร์ VPN ของ Windscribe (โดยเฉพาะหนึ่งเครื่องในเนเธอร์แลนด์)
- โครงสร้างพื้นฐานของบริการ VPN
- ความเชื่อมั่นและความเป็นส่วนตัวของผู้ใช้ VPN ทั่วไป
Technical Attack Steps:
- ทางการเนเธอร์แลนด์ดำเนินการตามหมายศาลเพื่อยึดเซิร์ฟเวอร์ VPN ของ Windscribe ในประเทศเนเธอร์แลนด์
- เซิร์ฟเวอร์ VPN มาตรฐานถูกถอดออกเพื่อค้นหาบันทึกข้อมูลที่อาจเกี่ยวข้องกับกิจกรรมทางอาญา
- เนื่องจาก Windscribe ใช้เซิร์ฟเวอร์แบบ RAM-only (diskless) ข้อมูลทั้งหมดบนเซิร์ฟเวอร์จึงถูกลบเมื่อไฟฟ้าดับลงระหว่างการยึดเครื่อง
- คาดว่าหน่วยงานจะพบเพียงการติดตั้ง Ubuntu ที่สะอาดหมดจด โดยไม่มีข้อมูลผู้ใช้ถาวร บันทึกเวลาการเชื่อมต่อ ที่อยู่ IP หรือกิจกรรมการท่องเว็บใดๆ
Recommendations:
Short Term:
- ผู้ใช้บริการ VPN ควรตรวจสอบนโยบายการไม่บันทึกข้อมูล (no-logs policy) และการกล่าวอ้างเรื่องเซิร์ฟเวอร์แบบ RAM-only ของผู้ให้บริการ VPN ที่ใช้ โดยควรได้รับการยืนยันจากการตรวจสอบโดยอิสระ
- หากมีความกังวลเรื่องความเป็นส่วนตัว ให้พิจารณาใช้บริการ VPN ที่อนุญาตให้สมัครสมาชิกแบบไม่ระบุตัวตน (เช่น ผ่านสกุลเงินดิจิทัล)
Long Term:
- ผู้ให้บริการ VPN ควรลงทุนและนำสถาปัตยกรรมที่เน้นความเป็นส่วนตัวมาใช้ เช่น เซิร์ฟเวอร์แบบ RAM-only เพื่อปกป้องข้อมูลผู้ใช้จากการยึดเซิร์ฟเวอร์จริง
- ผู้ใช้ควรติดตามข้อมูลเกี่ยวกับสภาพแวดล้อมทางกฎหมายและนโยบายความเป็นส่วนตัวของผู้ให้บริการ VPN ที่เลือก รวมถึงเขตอำนาจศาลและสถานะ ‘Five Eyes’ ของประเทศนั้นๆ
- ส่งเสริมการบังคับใช้กฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูลที่แข็งแกร่งขึ้น และความโปร่งใสจากทั้งหน่วยงานบังคับใช้กฎหมายและผู้ให้บริการเทคโนโลยี
Source: https://cybersecuritynews.com/windscribe-vpn-server-seized/
Share this content: