Баг ExpressVPN годами был источником утечек истории просмотров для провайдеров

13-02-2024 10:38
news-image

Сервис ExpressVPN удалил функцию раздельного туннелирования после того, как обнаружил, что ошибка открывала посещаемые пользователями домены для DNS-серверов, которыми по умолчанию являются провайдеры интернета.

Ошибка была обнаружена в версиях ExpressVPN для Windows 12.23.1 — 12.72.0, опубликованных в период с 19 мая 2022 года по 7 февраля 2024 года, и влияла только на тех, кто использовал функцию раздельного туннелирования, что позволяет пользователям выборочно направлять часть интернет-трафика в туннель VPN и из него, обеспечивая гибкость для тех, кому нужен как локальный доступ, так и безопасный удаленный доступ одновременно, передает Bleeping Computer.

Ошибка в этой функции приводила к тому, что DNS-запросы пользователей направлялись не к инфраструктуре ExpressVPN, а к провайдеру интернет-услуг (ISP) пользователя.

Обычно все DNS-запросы выполняются через DNS-сервер ExpressVPN без журналов, чтобы предотвратить отслеживание провайдерами и другими организациями доменов, которые посещает пользователь.

Однако эта ошибка привела к тому, что некоторые DNS-запросы отправлялись на DNS-сервер, настроенный на компьютере пользователя (обычно на сервер провайдера), что позволило серверу отслеживать привычки пользователя в Интернете.

Утечка DNS-запросов означает, что пользователи Windows с активным расщепленным туннелированием потенциально могут раскрыть свою историю просмотров третьим лицам, нарушая основное обещание VPN-продуктов.

Курс з Продуктової аналітики.
Станьте універсальним аналітиком, опанувавши 20+ інструментів для роботи з будь-яким продуктом.
Ознайомитись з курсом

Это позволяет провайдеру видеть, какие домены посещает пользователь, например, google.com, хотя провайдер все еще не может видеть отдельные веб-страницы, поисковые запросы или другое поведение. Однако все содержимое интернет-трафика пользователя остается зашифрованным и недоступным для просмотра провайдером или любой другой третьей стороной.

ExpressVPN утверждает, что проблема касалась только около 1% пользователей Windows, и компания смогла воспроизвести ошибку только в режиме раздельного туннелирования «Позволить только выбранным приложениям использовать VPN».

Пользователям ExpressVPN версий от 12.23.1 до 12.72.0 для Windows следует обновить клиент до последней версии 12.73.0. Она удаляет функцию расщепленного туннелирования. Однако ExpressVPN заявляет, что они вернут ее в будущем выпуске, когда ошибка будет исправлена.

Источник: ITC