VPN шифрует всё — кроме вашего IP. ExpressVPN случайно сдал своих клиентов
NewsMakerПользователи думали, что невидимы в сети, а сами «светились» как новогодняя ёлка.
Сервис ExpressVPN устранил уязвимость в Windows-клиенте, которая позволяла обходить VPN-туннель при использовании протокола удалённого рабочего стола (RDP), раскрывая реальные IP-адреса пользователей. Проблема затронула версии клиента от 12.97 до 12.101.0.2-beta и возникла из-за случайно оставленного отладочного кода, предназначенного для внутреннего тестирования. уязвимость была обнаружена 25 апреля 2025 года специалистом под псевдонимом Adam-X через программу вознаграждения за сообщения об ошибках.
Суть проблемы заключалась в том, что при подключении по RDP трафик шёл не через зашифрованный туннель, как должно быть при использовании VPN, а напрямую — что позволяло внешнему наблюдателю, будь то интернет-провайдер или другое лицо в локальной сети, видеть не только сам факт подключения к ExpressVPN, но и точные адреса удалённых серверов, к которым устанавливалось соединение.
Несмотря на то, что шифрование данных при этом сохранялось, сам факт обхода VPN-туннеля рассматривается как серьёзный сбой. Особенно для компании, позиционирующей себя как один из лидеров в сфере конфиденциальности и безопасности. ExpressVPN заявила, что уязвимость имела ограниченный характер и затрагивала преимущественно тех пользователей, кто активно использует RDP — протокол, распространённый в корпоративной среде и среди IT-администраторов, но малопопулярный среди обычных клиентов.
Обновление с исправлением было выпущено 18 июня 2025 года в версии 12.101.0.45. Компания рекомендовала всем пользователям Windows немедленно обновить клиент до этой версии. Также она пообещала усилить внутреннюю проверку производственных сборок, в том числе за счёт более жёсткой автоматизации тестирования, чтобы исключить повторение подобных случаев в будущем.
Это не первый технический сбой в ExpressVPN за последнее время. Ранее в 2024 году была зафиксирована утечка DNS-запросов при использовании функции разделённого туннелирования. Тогда функция была временно отключена до выпуска обновления.
Сервис ExpressVPN устранил уязвимость в Windows-клиенте, которая позволяла обходить VPN-туннель при использовании протокола удалённого рабочего стола (RDP), раскрывая реальные IP-адреса пользователей. Проблема затронула версии клиента от 12.97 до 12.101.0.2-beta и возникла из-за случайно оставленного отладочного кода, предназначенного для внутреннего тестирования. уязвимость была обнаружена 25 апреля 2025 года специалистом под псевдонимом Adam-X через программу вознаграждения за сообщения об ошибках.
Суть проблемы заключалась в том, что при подключении по RDP трафик шёл не через зашифрованный туннель, как должно быть при использовании VPN, а напрямую — что позволяло внешнему наблюдателю, будь то интернет-провайдер или другое лицо в локальной сети, видеть не только сам факт подключения к ExpressVPN, но и точные адреса удалённых серверов, к которым устанавливалось соединение.
Несмотря на то, что шифрование данных при этом сохранялось, сам факт обхода VPN-туннеля рассматривается как серьёзный сбой. Особенно для компании, позиционирующей себя как один из лидеров в сфере конфиденциальности и безопасности. ExpressVPN заявила, что уязвимость имела ограниченный характер и затрагивала преимущественно тех пользователей, кто активно использует RDP — протокол, распространённый в корпоративной среде и среди IT-администраторов, но малопопулярный среди обычных клиентов.
Обновление с исправлением было выпущено 18 июня 2025 года в версии 12.101.0.45. Компания рекомендовала всем пользователям Windows немедленно обновить клиент до этой версии. Также она пообещала усилить внутреннюю проверку производственных сборок, в том числе за счёт более жёсткой автоматизации тестирования, чтобы исключить повторение подобных случаев в будущем.
Это не первый технический сбой в ExpressVPN за последнее время. Ранее в 2024 году была зафиксирована утечка DNS-запросов при использовании функции разделённого туннелирования. Тогда функция была временно отключена до выпуска обновления.