Popularny VPN ujawniał adresy IP użytkowników. Testowali na produkcji

ExpressVPN, jeden z najczęściej rekomendowanych dostawców usług VPN na świecie, poinformował o załataniu luki w wersji swojej aplikacji dla systemu Windows. Problem dotyczył wersji od 12.97 do 12.101.0.2-beta i polegał na tym, że ruch użytkownika w pewnych warunkach mógł ominąć tunel VPN, co prowadziło do ujawnienia jego adresu IP osobom trzecim. Chociaż nie doszło do złamania szyfrowania danych, sam fakt wycieku metadanych połączenia został potraktowany przez firmę jako poważne naruszenie zasad prywatności.

Wszystko zaczęło się od błędu w kodzie przeznaczonym pierwotnie do testów wewnętrznych. Jak przyznał sam ExpressVPN, kod ten trafił omyłkowo do publicznej wersji aplikacji. W praktyce oznaczało to, że użytkownicy, którzy łączyli się z serwerami zdalnymi za pomocą protokołu RDP (Remote Desktop Protocol) lub przesyłali inny ruch TCP przez port 3389, mogli nieświadomie ujawniać swój rzeczywisty adres IP, mimo aktywnego połączenia VPN. Dostawca poinformował w poście na blogu , że kod przeznaczony do testów wewnętrznych „przez pomyłkę trafił do wersji produkcyjnych”.

Zgłoszenie, reakcja i szybka poprawka

Lukę w systemie wykrył badacz bezpieczeństwa działający pod pseudonimem Adam-X. W kwietniu 2025 roku zgłosił on problem za pośrednictwem programu bug bounty prowadzonego przez ExpressVPN. Firma zareagowała błyskawicznie. Zespół odpowiedzialny za bezpieczeństwo rozpoczął analizę jeszcze tego samego dnia, a pięć dni później wydano poprawkę w wersji 12.101.0.45. Na początku czerwca Adam-X potwierdził, że problem został skutecznie rozwiązany, a raport został zamknięty pod koniec miesiąca.

ExpressVPN zaznaczył, że choć luka dotyczyła potencjalnie wrażliwego aspektu działania usługi, jej realny wpływ był ograniczony. Połączenia przez protokół RDP są wykorzystywane głównie w środowiskach korporacyjnych, więc większość prywatnych użytkowników – stanowiących zdecydowaną większość klientów firmy – nie była narażona na ryzyko. Niemniej jednak firma uznała, że każda sytuacja, w której adres IP użytkownika mógł zostać ujawniony, stanowi niedopuszczalne naruszenie zaufania.

Nie doszło do złamania szyfrowania

Z informacji podanych przez ExpressVPN wynika, że luka nie wpływała na jakość szyfrowania danych. Ruch nie był widoczny dla podmiotów trzecich, a jego zawartość pozostała zabezpieczona. Problem dotyczył wyłącznie warstwy tunelowania, przez co informacje takie jak adres IP i użycie portu 3389 mogły zostać dostrzeżone przez operatora sieci lub inne podmioty monitorujące połączenia.

Firma podkreśliła, że aby atakujący mógł skutecznie wykorzystać tę lukę, musiałby nie tylko znać jej istnienie, ale także zmusić użytkownika do odpowiedniego zachowania – na przykład kliknięcia złośliwego linku lub odwiedzenia spreparowanej strony internetowej. Tego typu scenariusz wymagałby skoordynowanego działania i nie należał do kategorii łatwych do przeprowadzenia.

W swoim komunikacie ExpressVPN podziękował społeczności użytkowników za czujność i współpracę przy wykrywaniu potencjalnych słabości. Firma zapowiedziała też wzmocnienie wewnętrznych procedur bezpieczeństwa, by zapobiec podobnym przypadkom w przyszłości. Klientom korzystającym z systemu Windows zalecono jak najszybsze zaktualizowanie aplikacji do najnowszej wersji, która zawiera stosowną poprawkę.