ExpressVPN несколько лет раскрывал DNS-запросы пользователей Разработчики
ExpressVPN предупредили, что вынуждены удалить из своего приложения раздельное туннелирование. Дело в том, что эта функциональность оказалась связана с багом, который раскрывал домены, посещаемые пользователями.
Ошибку обнаружили сотрудники
CNET, и она присутствовала только в Windows-версиях
ExpressVPN (с 12.23.1 по 12.72.0), выходивших в период с 19 мая 2022 года по 7 февраля 2024 года. Проблема затрагивала только тех, кто использовал функцию раздельного туннелирования, которая позволяет выборочно направлять часть интернет-трафика в
VPN-туннель или в обход него, обеспечивая гибкость для тех, кому нужен одновременно локальный и
защищенный удаленный доступ. Уязвимость приводила к тому, что DNS-запросы пользователей попадали не в инфраструктуру
ExpressVPN, как должно было быть, а к
интернет-провайдеру пользователя. Так, обычно все DNS-запросы выполняются через
DNS-сервер ExpressVPN, который не хранит
логи, чтобы провайдеры и другие организации не могли отслеживать домены, которые посещает человек. Из-за обнаруженной ошибки некоторые
DNS-запросы отправлялись на DNS-сервер, заданный в системе пользователя (обычно, это сервер провайдера), что позволяло провайдеру отслеживать, какие сайты
посещает клиент.
