[Dit artikel is bijgewerkt met exclusieve opmerkingen van PureVPN. Scroll hieronder voor meer details]

PureVPN had twee kwetsbaarheden waardoor hackers opgeslagen wachtwoorden konden ophalen via de VPN-client. Dit werd bevestigd door Trustwave's beveiligingsonderzoeker Manuel Nader en de VPN-provider zelf.

Een van de twee kwetsbaarheden is in de tussentijd opgelost, terwijl de andere kwetsbaar blijft en PureVPN volgens Nader, “accepteerde het risico”.

De kwetsbaarheid die werd gepatcht zag opgeslagen wachtwoorden opgeslagen in leesbare tekst, op deze locatie: 'C: \ ProgramData \ purevpn \ config \ login.conf

Alle gebruikers hebben de kans gekregen om het bestand te openen en te lezen door het eenvoudigweg via de CMD te openen. Dit beveiligingslek is hersteld in versie 6.1.0. en wie PureVPN gebruikt, wordt dringend geadviseerd om zo snel mogelijk bij te werken naar de nieuwste versie.

PureVPN nog steeds kwetsbaar

De tweede kwetsbaarheid is de kwetsbaarheid die open blijft en het bedrijf heeft besloten om 'het risico te accepteren'. Hier is hoe Trustwave de kwetsbaarheid verklaart:

“De PureVPN Windows-client die wordt aangeboden door PureVPN kan een lokale aanvaller toestaan ​​om het opgeslagen wachtwoord op te halen van de laatste gebruiker die zich met succes bij de PureVPN-service heeft aangemeld. Hierdoor kan een lokale aanvaller de PureVPN-referenties van een andere gebruiker verkrijgen wanneer een Windows-machine meerdere gebruikers heeft als deze zich succesvol hebben aangemeld. De aanval gebeurt uitsluitend via de GUI (Graphical User Interface), er is geen noodzaak om een ​​externe tool te gebruiken.”

Dus eigenlijk moet u de Windows-client openen, Configuratie openen, Gebruikersprofiel en klikken op 'Wachtwoord weergeven'..

Een woordvoerder van PureVPN stuurde ons de volgende verklaring.

"Dit is geen kwetsbaarheid, maar een functie die we hebben geïmplementeerd voor het gemak van onze gebruikers. In april 2018, toen Trustwave dit aan ons meldde, hebben we het risico beoordeeld en vonden het minimaal vanwege de manier waarop onze systemen zijn ontworpen. Om dit kenmerk te begrijpen en waarom we het als minimaal risico hebben beoordeeld, lees dan verder:

Onze systemen werken een beetje anders dan de meeste andere VPN-providers. Voor een betere beveiliging gebruiken we afzonderlijke wachtwoorden voor toegang tot het lidgebied en VPN. Lidzone-wachtwoord dat meer rechten heeft, wordt niet weergegeven in apps, dit is het VPN-toegangswachtwoord dat het onderwerp van deze functie is. Bovendien zijn onze VPN-wachtwoorden standaard gegenereerd door het systeem en niet ingesteld door gebruikers. Dit beperkt het risico dat gebruikers hetzelfde wachtwoord gebruiken voor VPN-accounts die zij gebruiken voor hun gevoelige accounts elders op internet. Aan de andere kant bleek dit verbeterde beveiligingsontwerp voor nogal wat van onze gebruikers een beetje moeilijk en daarom bood het hen een manier om gemakkelijk hun VPN-wachtwoord op te halen..

Voorlopig heeft de community bezorgdheid geuit en verwart het als een kwetsbaarheid, we hebben de functie tijdelijk verwijderd en een nieuwere versie 6.2.2 uitgegeven. Aan die gebruikers van onze mensen die deze functie vrijwel gebruiken om het afzonderlijke wachtwoord voor VPN op te halen, willen we u erop wijzen dat we van plan zijn de toekomst opnieuw te ontwerpen, rekening houdend met deze zorgen, en deze terug te geven in onze release van november 2018.

We gebruiken Bugcrowd, een openbaar Bug Bounty-programma dat ongeveer 90.000 ethische hackers in dienst heeft om ons product te testen. We blijven intensief samenwerken met de InfoSec-community en hebben dus zulke agressieve en gestroomlijnde processen dat de nieuwe versie 6.2.2 binnen enkele uren is uitgebracht."

Degenen die geïnteresseerd zijn in meer informatie over VPN's en hoe ze bijdragen aan het verbeteren van uw online privacy, zorgen ervoor dat u ons Best VPN-artikel leest.