2024/02/13

Bug no ExpressVPN revelava sites visitados

Um bug no serviço ExpressVPN podia revelar que sites se visitavam aos servidores de DNS.

Os servidores DNS são os responsáveis por traduzir o nome de um domínio (como o abertoatedemadrugada.com) num endereço IP que o computador pode usar para encontrar o servidor pretendido. Faz parte da intraestrutura base da internet e da web, e normalmente é algo que é fornecido pelo serviço de acesso à internet, a não ser que o utilizador expressamente configure outro serviço, como os DNS da Google (o 8.8.8.8), Cloudflare, ou outros.

Este serviço permite que a empresa respectiva fique com um historial dos sites que estão a ser visitados pelos utilizadores, sendo por isso algo que os utilizadores de um serviço VPN assumem estar protegido. Mas não era isso que acontecia para os utilizadores do ExpressVPN em Windows desde Maio de 2022. Quem utilizasse a funcionalidade split tunneling, que permite aceder simultaneamente a certos endereços directamente e a outros através do serviço de VPN, estava sujeito a ter alguns dos pedidos DNS enviados para os servidores pré-configurados em vez dos servidores do serviço VPN - com isso revelando que sites estavam a visitar.

O serviço diz que o bug terá afectado menos de 1% dos utilizadores, que usassem o modo split-tunneling com a opção "Only allow selected apps to use the VPN".

Para os clientes ExpressVPN, a recomendação é actualizar o software para a versão 12.73.0 ou mais recente, que já tem este bug corrigido e deverá manter todos os acessos dos utilizadores 100% privados, enviando os pedidos DNS para os servidores da ExpressVPN que não guardam registos.

Sem comentários:

Enviar um comentário (problemas a comentar?)