[Denne artikkelen har blitt oppdatert med eksklusive kommentarer fra PureVPN. Rull ned for mer informasjon]

PureVPN har hatt to sårbarheter som ville tillate hackere å hente lagrede passord gjennom VPN-klienten. Dette ble bekreftet av Trustwaves sikkerhetsforsker Manuel Nader, og VPN-leverandøren selv.

En av de to sårbarhetene ble løst i mellomtiden, mens den andre forblir aktiv, og PureVPN har ifølge Nader, “aksepterte risikoen”.

Sårbarheten som ble patched så lagrede passord lagret i ren tekst, på denne plasseringen: 'C: \ ProgramData \ purevpn \ config \ login.conf

Alle brukere har hatt muligheten til å få tilgang til og lese filen ved å bare åpne den gjennom CMD. Dette sikkerhetsproblemet har blitt oppdatert i versjon 6.1.0. og den som bruker PureVPN, anbefales på det sterkeste å oppdatere til den nyeste versjonen, så snart som mulig.

PureVPN fortsatt sårbar

Den andre sårbarheten er den som er åpen, og selskapet har bestemt seg for å "akseptere risikoen". Slik forklarer Trustwave sikkerhetsproblemet:

“PureVPN Windows Client levert av PureVPN kan tillate en lokal angriper å hente det lagrede passordet til den siste brukeren som har logget på PureVPN-tjenesten. På grunn av dette kan en lokal angriper oppnå en annen brukers PureVPN-legitimasjon når en Windows-maskin har flere brukere hvis de har logget inn. Angrepet utføres utelukkende gjennom GUI (Graphical User Interface), det er ikke nødvendig å bruke et eksternt verktøy.”

Så i utgangspunktet trenger du å åpne Windows-klienten, åpne Konfigurasjon, Brukerprofil, og klikk på 'Vis passord'.

En talsmann for PureVPN sendte oss følgende erklæring.

"Dette er ikke et sårbarhet, heller en funksjon som vi distribuert for å lette våre brukere. Tilbake i april 2018, da Trustwave rapporterte det til oss, vurderte vi risikoen, og fant det minimalt på grunn av hvordan våre systemer er utformet. For å forstå denne funksjonen og hvorfor vi vurderte den som minimal risiko, vennligst les videre på:

Våre systemer fungerer litt annerledes enn de fleste andre VPN-leverandører. For bedre sikkerhet bruker vi separate passord for medlemsområde og VPN-tilgang. Medlemsområde-passord som er mer privilegert, vises ikke i apper, det er VPN-tilgangspassordet som er gjenstand for denne funksjonen. Videre er våre VPN-passord som standard generert og ikke satt av brukere. Dette begrenser risikoen for at brukere bruker samme passord for VPN-kontoer som de bruker for sine sensitive kontoer andre steder på Internett. På den annen side viste dette forbedrede sikkerhetsdesignet seg litt vanskelig for ganske mange av våre brukere, og dermed tilbød vi en måte for dem å enkelt hente VPN-passordet.

For nå har samfunnet reist bekymringer og forvirrer det som et sårbarhet, vi har midlertidig fjernet funksjonen og gitt ut en nyere versjon 6.2.2. Til de brukerne av oss som ganske mye bruker denne funksjonen for å hente det separate passordet for VPN, vil vi gjerne informere om at vi planlegger å redesign fremtiden, holde disse bekymringene i bakhodet, og slipp det tilbake i november 2018 utgivelsen.

Vi bruker Bugcrowd, et offentlig Bug Bounty Program som ansatte rundt 90.000 etiske hackere for å teste produktet vårt. Vi forblir i tett samarbeid med InfoSec-fellesskapet og har derfor slike aggressive og strømlinjeformede prosesser på plass for å ha gitt ut den nye versjonen 6.2.2 innen noen få timer."

De som er interessert i å lære mer om VPN og hvordan de bidrar til å forbedre ditt privatliv på Internett, må du lese vår Best VPN-artikkel.