No mundo digital atual, onde a privacidade online é uma preocupação crescente, contar com uma VPN confiável é essencial para muitos usuários da internet. No entanto, mesmo as soluções mais confiáveis podem encontrar desafios inesperados. Recentemente, a ExpressVPN enfrentou uma situação delicada relacionada a um bug em seu software que expôs as solicitações de DNS de alguns usuários.
O bug em questão foi identificado nas versões 12.23.1 – 12.72.0 do aplicativo ExpressVPN para Windows, lançadas entre 19 de maio de 2022 e 7 de fevereiro de 2024. Esse bug afetou os usuários que utilizavam o recurso de túnel dividido, uma funcionalidade que permite direcionar seletivamente parte do tráfego da internet através da VPN, proporcionando flexibilidade aos usuários que necessitam de acesso local e remoto seguro simultaneamente.
O problema em si ocorria quando as solicitações de DNS dos usuários não eram direcionadas para os servidores da ExpressVPN, como deveriam, mas sim para os servidores DNS do provedor de serviços de internet (ISP) do usuário. Em circunstâncias normais, todas as solicitações de DNS são roteadas através do servidor DNS sem log da ExpressVPN, protegendo a privacidade do usuário ao impedir que ISPs e outras organizações rastreiem os domínios visitados. Contudo, devido a esse bug, algumas consultas DNS foram enviadas aos servidores configurados no computador do usuário, expondo potencialmente seu histórico de navegação a terceiros.
A resposta da ExpressVPN
O vazamento de solicitações de DNS, conforme relatado pela ExpressVPN, tem sérias implicações para a privacidade online dos usuários. Ao permitir que o ISP visualize os domínios visitados, embora não o conteúdo específico das páginas acessadas, o bug viola a confiança depositada pelos usuários em soluções VPN para proteger sua privacidade. Essa violação da privacidade representa uma preocupação significativa, especialmente em um momento em que a proteção dos dados pessoais é fundamental.
Diante desse desafio, a ExpressVPN agiu rapidamente para mitigar os riscos para seus clientes. A remoção temporária do recurso de tunelamento dividido nas versões afetadas foi uma medida proativa para evitar vazamentos adicionais de solicitações de DNS enquanto uma solução permanente estava em desenvolvimento. Além disso, a empresa lançou a atualização 12.73.0 do aplicativo, que removeu o recurso afetado e garantiu que as solicitações de DNS fossem roteadas corretamente através de seus servidores.
Recomendações para os usuários
Para os usuários afetados pelas versões 12.23.1 – 12.72.0 da ExpressVPN, é crucial atualizar para a versão mais recente do aplicativo (12.73.0) para garantir a proteção contínua de sua privacidade online. Aqueles que necessitam do recurso de tunelamento dividido são aconselhados a utilizar a versão 10 do aplicativo, que não foi afetada pelo bug. Ademais, desabilitar o tunelamento dividido nessas versões anteriores também pode mitigar os riscos de vazamentos de solicitações de DNS.
O bug da ExpressVPN que resultou no vazamento de solicitações de DNS é um lembrete poderoso dos desafios contínuos relacionados à segurança e privacidade online. Embora a empresa tenha agido rapidamente para resolver o problema e proteger seus usuários, ele destaca a importância de escolher provedores de VPN confiáveis e estar ciente das potenciais vulnerabilidades em sistemas de segurança digital.