Datilin
Search
Computer graphic showing blue keyboard with multiple red warning triangle tabs

ExpressVPN מתקן באג שיכול היה לחשוף כתובות IP של משתמש

ExpressVPN עדכנה את אפליקציית Windows שלה כדי לתקן פגיעות שיכולה לחשוף את כתובת ה- IP של המשתמש לצופים.

כאחד ה- VPNs הטובים ביותר, ExpressVPN הוא מאובטח מאוד אך טעויות יכולות לקרות. הספק אמר בפוסט בבלוג כי הקוד שנועד לבדיקה פנימית "בטעות הפך אותו לבניית ייצור."

רק משתמשים בתנאים ספציפיים הושפעו, אך הבאג פירושו שהתנועה לא הועברה דרך מנהרת ה- VPN כצפוי – אולם הצפנה לא הושפעה.

ExpressVPN פעל במהירות כדי לתקן את הפגיעות וממליץ על כל משתמשי ה- VPN של Windows לשדרוג לגירסה האחרונה של האפליקציה.

סיוע בקהילה

הקוד המיועד לבדיקות פנימיות מצא את דרכו לגרסאות לבנות ייצור 12.97 עד 12.101.0.2-beta.

זה דווח ל- ExpressVPN באפריל 2025 על ידי חוקר האבטחה Adam-X באמצעות תוכנית BUNTY BUNTY של הספק-שם חוקרי האבטחה יכולים להרוויח תגמולים במזומן בגין דיווח על פגיעויות ופגמים.

ExpressVPN אמר כי הצוות שלה אישר את הדו"ח ושילע את הדו"ח תוך שעות.

הפגיעות התרכזה בפרוטוקול שולחן עבודה מרוחק (RDP). על פי ExpressVPN היה רק סיכון כאשר חיבור RDP היה בשימוש או כאשר תנועת TCP אחרת הועברה על פני יציאה 3389.

ExpressVPN אמר "אם משתמש קבע חיבור באמצעות RDP, תנועה זו יכולה לעקוף את מנהרת ה- VPN."

"זה לא השפיע על הצפנה, אך פירוש הדבר שהתנועה מחיבורי RDP לא הועברה באמצעות ExpressVPN כצפוי."

היא הוסיפה כי משקיפים כמו ספקי שירותי אינטרנט יכלו לראות שמשתמש היה מחובר ל- ExpressVPN וכי הם משתמשים ב- RDP כדי לגשת לשרתים מרוחקים – מידע שיוגן בדרך כלל.

RDP משמש לרוב בסביבות ארגוניות, ולכן מרבית המשתמשים לא היו מושפעים. עם זאת, ExpressVPN אמר שהיא מחשיבה "כל סיכון לפרטיות שלא מקובלת."

תיקון שוחרר חמישה ימים לאחר מכן בגרסה 12.101.0.45. החוקר אישר כי הנושא נפתר ו- ExpressVPN סגר את הדו"ח בסוף יוני.

לוגו Red ExpressVPN המוצג על מסך הסמארטפון השחור

כמה קשה זה יכול היה להיות?

ExpressVPN ניתח את הנושאים והאמין כי "הסבירות לניצול בעולם האמיתי הייתה נמוכה ביותר."

בהתחשב בעובדה שרוב המשתמשים ב- ExpressVPN הם אנשים בניגוד ללקוחות ארגוניים, אמר הספק "מספר המשתמשים שנפגעו ככל הנראה קטן."

כדי שהאקר ינצל את הפגיעות, הם היו צריכים להיות מודעים לבאג ולמצוא דרך לנתב תנועה על פני יציאה 3389. ניתן היה לעשות זאת על ידי העלאת המשתמש ללחוץ על קישור זדוני או להתפשר על אתר פופולרי להשקת התקפת כונן-כל מה שהמשתמש היה מחובר ל- VPN.

כפי שהודגם על ידי אדם-X, ניתן היה לחשוף את כתובת ה- IP האמיתית של המשתמש. אולם לא ניתן היה לראות את פעילות הגלישה והצפנה לא נפגעה.

ExpressVPN אמרה כי היא אסירת תודה לקהילה שלה על כך שהודיעה עליה על סוגיות פוטנציאליות והציעה שיפורים. הספק יחזק את אמצעי ההגנה הפנימיים שלו כדי להבטיח שזה לא יקרה שוב.

הצהרת אחריות

אנו בודקים ובודקים שירותי VPN בהקשר של שימושים פנאי משפטיים. לדוגמא: 1. גישה לשירות ממדינה אחרת (בכפוף לתנאים של אותו שירות). 2. הגנה על האבטחה המקוונת שלך וחיזוק הפרטיות המקוונת שלך בחו"ל. איננו תומכים או מתיר את השימוש הבלתי חוקי או זדוני בשירותי VPN. צריכת תוכן פיראטי שמשולם לא מאושר ואינו מאושר על ידי פרסום עתידי.

idan
idan
Datilin
האתר בתהליך הנגשה לבעלי מוגבלויות

אנו עושים כל מאמץ להשלים את הנגשת האתר! במידה ונתקלת בבעיה אנא פנה אלינו!

זכויות יוצרים

אתר datilin.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר [email protected]

דילוג לתוכן