Разработчики ExpressVPN сообщили об обнаружении бага в функции раздельного туннелирования в приложении для Windows версий 12.23.1 — 12.72.0.
Этот баг раскрывал домены, которые посещали пользователи, в течение почти двух лет.Версии с багом выходили в период с 19 мая 2022 года по 7 февраля 2024 года.
Его обнаружили сотрудники CNET. Проблема касалась только тех пользователей, которые включали функцию раздельного туннелирования, которая позволяет направлять часть трафика в VPN-туннель или в обход него, чтобы обеспечить одновременно локальный и защищённый удалённый доступ.Из-за бага DNS-запросы юзеров направлялись не в инфраструктуру ExpressVPN, а к их интернет-провайдерам.
Читать на habr.com