Natrag na blog

Analiza glavnih incidenata curenja i kompromitacije VPN-a u 2025-2026.｜Pouke za korisnike i mjere koje provodi SecureSS

Pregled

Iako se VPN usluge pozicioniraju kao „posljednja utvrda za zaštitu privatnosti”, u razdoblju 2025-2026. dogodilo se nekoliko ozbiljnih sigurnosnih incidenata kod nekoliko velikih VPN pružatelja, uz prijave slučajeva curenja korisničkih podataka i zapisnika veza. Ti su događaji srušili pojednostavljeno uvjerenje da „korištenje VPN-a znači apsolutnu sigurnost” i istaknuli potrebu da se prilikom odabira usluge pažljivo razmotri i sigurnosna arhitektura i operativna politika.

U ovom članku obrađujemo 5 velikih sigurnosnih incidenata povezanih s VPN-om koji su objavljeni u protekloj godini i objektivno analiziramo metode napada, opseg utjecaja, uzroke i mjere sprječavanja ponavljanja. Istovremeno konkretno predstavljamo sigurnosne mjere koje SecureSS primjenjuje, učeći iz tih slučajeva (tehnička potvrda politike bez zapisnika, dizajn poslužitelja po načelu najmanjih ovlasti, višeslojna enkripcija itd.). Pružamo sadržaj važan za razumijevanje sigurnosnih trendova u cijeloj industriji, koristan kao osnova za odluku pri sklapanju ili nastavku korištenja VPN usluge.

Zašto je Sigurnost važan danas

Važnost praćenja informacija o incidentima u VPN industriji nadilazi puko praćenje vijesti i izravno se odražava na donošenje odluka u sljedećih 5 praktičnih scenarija. Posjedovanje utemeljenih razloga za odabir ili nastavak usluge dovodi do dugoročnog smanjenja rizika.

• Kriterij za procjenu pouzdanosti operatera na temelju povijesti incidenata, za korisnike koji razmatraju ugovor o VPN usluzi, neovisno o tome je li riječ o velikom ili srednjem pružatelju
• Konkretne smjernice za proces sigurnosne revizije kada IT odjeli tvrtki odabiru VPN za udaljeni pristup zaposlenika
• Kriterij odluke o nastavku ili promjeni ugovora ako je VPN usluga koja je već ugovorena imala ranije incidente
• Metoda procjene tvrdnji VPN operatera o „politici bez zapisnika” putem postojanja neovisne revizije i razine tehničke potvrde
• Važnost potvrđivanja sigurnosne uprave operatera pri korištenju VPN-a u poslovima visoke povjerljivosti (M&A, pravo, novinarstvo)

Od pokretanja usluge 2020. godine SecureSS dosljedno slijedi operativnu politiku koja stavlja sigurnost korisnika na prvo mjesto te svake godine provodi neovisnu sigurnosnu reviziju treće strane i tehničku provjeru politike bez zapisnika. Kroz analizu industrijskih incidenata predstavljenu u ovom članku, način na koji SecureSS provodi strukturne mjere postaje transparentna osnova za odluku o sklapanju ugovora.

Kako mu pristupiti

Korak 1: Pregled 5 glavnih incidenata i analiza utjecaja

Analiziramo 5 reprezentativnih incidenata povezanih s VPN-om koji su objavljeni između 2025. i 2026. godine. Prvi je curenje zapisnika veza zbog nepravilne konfiguracije poslužitelja kod jednog velikog VPN pružatelja, pri čemu su IP adrese i vremenske oznake približno 1 milijuna osoba ostale dostupne trećim stranama tijekom 6 sati. Drugi je iskorištavanje ranjivosti klijentske VPN aplikacije, gdje su putem zlonamjernih DNS postavki šifrirane komunikacije bile zaobiđene. Treći slučaj odnosi se na promjenu uvjeta korištenja besplatne VPN usluge, gdje je otkriven ugovor o prodaji komunikacijskih podataka korisnika reklamnoj tvrtki. Četvrti slučaj odnosi se na zahtjev za otkrivanjem zapisa veza određenih korisnika temeljem naloga tijela kaznenog progona za fizički pristup podatkovnom centru u kojem su smješteni VPN poslužitelji. Peti je slučaj kompromitacije računa zaposlenika odjela podrške srednje velikog VPN operatera putem phishing napada, što je dovelo do neovlaštenog pristupa bazi podataka korisnika. Temeljni uzroci svakog slučaja svode se na jedno od sljedećeg: politika čuvanja zapisnika, provjera konfiguracije poslužitelja, sigurnosna edukacija u odjelu podrške ili proces odgovora na pravne zahtjeve.

Korak 2: Tehničke i organizacijske mjere koje provodi SecureSS

Na temelju pouka iz tih incidenata sustavno organiziramo mjere koje SecureSS primjenjuje. Kao tehničke mjere, poslužitelji su konfigurirani bez diska (rade samo u RAM-u), s dizajnom u kojem se svi podaci brišu pri ponovnom pokretanju. Enkripcija temeljena na Shadowsocks funkcionira dosljedno od rukovanja pri uspostavi veze do njezina završetka, a dizajn operaterima ne daje pravo pristupa dešifriranim podacima ni na strani poslužitelja. Kao organizacijske mjere, treninzi protiv phishinga za osoblje podrške provode se kvartalno, a proces odgovora na zahtjeve tijela kaznenog progona formaliziran je u internom priručniku, čime je uspostavljena praksa koja zahtijeva odobrenje više osoba — od provjere legitimnosti naloga do određivanja opsega otkrivanja. Nadalje, jednom godišnje provodi se provjera politike bez zapisnika od strane neovisne revizijske kuće treće strane te mjesečna skeniranja ranjivosti poslužitelja. Izvješća o transparentnosti tih mjera objavljuju se na službenoj stranici.

Korak 3: Provjere i kontinuirana procjena rizika sa strane korisnika

Predstavljamo konkretne korake provjere koje korisnici mogu poduzeti pri odabiru i procjeni VPN operatera. Najprije provjerite stanje objave sljedećih informacija na službenoj stranici operatera: (1) postojanje izvješća o reviziji treće strane i datum izdavanja najnovije verzije; (2) politika odgovora na zahtjeve tijela kaznenog progona (izvješće o transparentnosti); (3) operater podatkovnog centra i mjere fizičke sigurnosti; (4) postojanje programa sigurnosne edukacije za zaposlenike; (5) otkrivanje incidenata u proteklih 5 godina. Zatim provjerite nedavnu povijest izmjena uvjeta korištenja i politike privatnosti kako biste utvrdili je li bilo promjena nepovoljnih za korisnike. Konačno, ojačajte kontekstualne informacije pretraživanjem reputacije u neovisnim tehničkim zajednicama (HackerNews, Reddit r/VPN itd.) i medijskih objava o ranijim incidentima. SecureSS transparentno objavljuje informacije po svim navedenim točkama, omogućujući ekvivalentnu provjeru pouzdanosti prije i nakon sklapanja ugovora.

Sažetak

P: Postoji li način na koji korisnik može potvrditi da VPN koji tvrdi da ima „politiku bez zapisnika” doista ne čuva zapisnike?

O: Potpuna potvrda tehnički je teška, ali kao pokazatelje pouzdanosti moguće je neizravno procijeniti sljedeće 3 točke: (1) izvješće neovisne revizije treće strane, (2) ima li poslužitelj konfiguraciju bez diska, (3) raniji slučajevi odgovora na zahtjeve tijela kaznenog progona. SecureSS objavljuje sve to, predstavljajući tehničku potvrdu politike bez zapisnika u obliku koji se može provjeriti.

P: Treba li izbjegavati VPN operatere koji su u prošlosti imali incidente?

O: Ne može se reći jednoznačno. Bitan je odgovor nakon incidenta — transparentno otkrivanje, analiza temeljnog uzroka, primjena mjera sprječavanja ponavljanja, provjera od treće strane. Više od samog nastanka incidenta, operateri sa solidnim procesom naknadnog poboljšanja mogu čak povećati svoju pouzdanost. Suprotno tome, treba izbjegavati operatere koji prikrivaju incidente ili zanemaruju temeljne mjere.

P: Koja je najpraktičnija mjera smanjenja rizika koju pojedinačni korisnik može poduzeti?

O: Najpraktičnije je ne oslanjati se samo na VPN, već primjenjivati višeslojnu obranu (VPN + proširenja preglednika + dvofaktorska autentifikacija + snažan upravitelj lozinki). VPN je samo jedan sloj zaštite komunikacijske putanje i postaje dovoljna obrana tek u kombinaciji sa zaštitom krajnjih točaka i sigurnošću računa.

Informacije o sigurnosnim incidentima u VPN industriji važan su kriterij pri odabiru usluge. SecureSS pruža pouzdanost iznad industrijskog standarda kroz cjelovitu primjenu konfiguracije bez diska, revizije treće strane, izvješća o transparentnosti i organizacijskih sigurnosnih mjera. SecureSS, koji možete započeti od ¥500 mjesečno, omogućuje vam provjeru ovih sigurnosnih praksi u stvarnom okruženju tijekom 5-dnevnog besplatnog probnog razdoblja.