Сервіс ExpressVPN вилучив функцію роздільного тунелювання після того, як виявив, що помилка відкривала відвідані користувачами домени для DNS-серверів, якими за замовчуванням є провайдери інтернету.
Помилку виявили у версіях ExpressVPN для Windows 12.23.1 – 12.72.0, опублікованих у період з 19 травня 2022 року по 7 лютого 2024 року, і впливала лише на тих, хто використовував функцію роздільного тунелювання, що дає змогу користувачам вибірково направляти частину інтернет-трафіку в тунель VPN і з нього, забезпечуючи гнучкість для тих, кому потрібен як локальний доступ, так і безпечний віддалений доступ одночасно, передає Bleeping Computer.
Помилка в цій функції призводила до того, що DNS-запити користувачів спрямовувалися не до інфраструктури ExpressVPN, а до провайдера інтернет-послуг (ISP) користувача.
Зазвичай всі DNS-запити виконуються через DNS-сервер ExpressVPN без журналів, щоб запобігти відстеженню провайдерами та іншими організаціями доменів, які відвідує користувач.
Однак ця помилка призвела до того, що деякі DNS-запити надсилалися на DNS-сервер, налаштований на комп’ютері користувача (зазвичай на сервер провайдера), що дало змогу серверу відстежувати звички користувача в Інтернеті.
Витік DNS-запитів означає, що користувачі Windows з активним розщепленим тунелюванням потенційно можуть розкрити свою історію переглядів третім особам, порушуючи основну обіцянку VPN-продуктів.
Це дає змогу провайдеру бачити, які домени відвідує користувач, наприклад, google.com, хоча провайдер все ще не може бачити окремі веб-сторінки, пошукові запити або іншу поведінку. Проте весь вміст інтернет-трафіку користувача залишається зашифрованим і недоступним для перегляду провайдером або будь-якою іншою третьою стороною.
ExpressVPN стверджує, що проблема стосувалася лише близько 1% користувачів Windows, і компанія змогла відтворити помилку лише в режимі роздільного тунелювання «Дозволити лише вибраним програмам використовувати VPN».
Користувачам ExpressVPN версій від 12.23.1 до 12.72.0 для Windows слід оновити клієнт до останньої версії 12.73.0. Вона видаляє функцію розщепленого тунелювання. Однак ExpressVPN заявляє, що вони повернуть її в майбутньому випуску, коли помилку буде виправлено.