اگه تو هم اهل سرویسای ویپیان هستی، احتمالاً اسم ExpressVPN رو شنیدی. خبر اینه که ExpressVPN تو نسخه ویندوزش یه باگ امنیتی خفن پیدا شده بود که سریع هم رفعش کردن، پس اگه هنوز آپدیت نکردی، الان وقتشه!
ماجرا چیه؟
چند وقت پیش (تو ماه آوریل) یه محقق مستقل امنیتی به اسم Adam-X فهمید تو نسخه ویندوز اپلیکیشن ExpressVPN یه مشکلی وجود داره که باعث میشه موقع استفاده از RDP اطلاعات واقعیت (مثل IP اصلیت) لو بره. حالا RDP چیه؟ RDP مخفف Remote Desktop Protocol ـه، یه قابلیتی که بهت اجازه میده از راه دور به یه کامپیوتر دیگه وصل شی، مثلاً میخوای از خونه به سیستم محل کارت دسترسی داشته باشی، با RDP این کارو انجام میدی.
باگ چجوری کار میکرد؟
فرض کن تو با خیال راحت VPN رو فعال کردی و داری با RDP وصل میشی. اصولاً باید کل دیتا از تونل رمزنگاریشده ویپیان (یعنی همون چیزی که باعث میشه آیپی و اطلاعاتت امن بمونه و کسی نبینه تو کجا میری) رد شه. ولی اینجا یه اشکال پیش اومده بود! وقتی با RDP وصل میشدی، دیتا از ویپیان رد نمیشد و یه جورایی میتونست مستقیم از اینترنت کشیده بشه، یعنی آیپی حقیقت لو میرفت و هر کی تو شبکه بود – مثل خودش ISP (یعنی شرکت اینترنتت) – میتونست اینو ببینه. حتی اگه یکی به شبکهات دسترسی داشت یا یه سایت مخرب رفته بودی، اونم میتونست این اطلاعات رو ببینه.
ExpressVPN چی گفت؟
شرکت گفته که این باگ احتمال سواستفادهی واقعیش خیلی پایین بوده. چون اولاً معمولاً خیلی از کاربرا قبل از RDP ویپیان رو نمیزنن، بیشتر تو استفادههای سازمانی مشکلسازه. تازه اون هکر باید میدونست دقیق دنبال چی بگرده و یه جوری قربانی رو به یه سایت آلوده بکشونه.
باگ از کجا اومده بود؟
ExpressVPN تو یه پست وبلاگی توضیح داد که ریشهی مشکل یه کد مربوط به دیباگ (یعنی همون رفع اشکال و تست داخلی) بوده که اشتباهی وارد نسخه نهایی شده بود! این کد تو نسخههای بین 12.97 تا 12.101.0.2-beta وجود داشته و از مارس تا می ۲۰۲۵ منتشر شده بود.
آیا باید تو تستهای امنیتی پیدا میشد؟
یه داستان جالب اینه که درست چند روز قبل از اعلام عمومی این مشکل، ExpressVPN گزارش تست no-log خودش رو منتشر کرده بود؛ این همون تاییدیهس که نشون میده هیچ کوکی یا لاگی از کاربرا نگه نمیدارن. این تست رو KPMG انجام داده بود (KPMG یه شرکت معتبر حسابرسی و نظارتیه که خیلیا بهش اعتماد دارن). ولی این باگ موقع اون تست وجود نداشته، چون نسخه دارای باگ بعدش اومده، پس امکان هرگونه پیدا کردنش تو Audit وجود نداشته.
برخورد ExpressVPN چطور بود؟
یکی از نقاط قوت ExpressVPN واکنش سریعشه. از لحظهای که Adam-X مشکل رو گزارش داد، تنها تو پنج روز اولین آپدیت و پچ اومد تا باگ رفع شه! این واقعا سرعت خوبیه تو دنیا امنیت. البته اینکه چرا خبر رو سریع به کاربرا ندادن، یه دلیل امنیتی داره؛ معمولاً شرکتا میذارن اول مشکل رو رفع کنن، بعد خبرش رو عمومی کنن تا مبادا هکرها از فرصت سواستفاده کنن.
چند نفر واقعا آسیب دیدن؟
طبق حرفای خودشون، احتمال آسیب خیلی کم بوده چون اکثر کاربران این سناریو رو نمیرن. تازه اکثر کاربرای ExpressVPN افراد عادی هستن نه شرکتای بزرگ، پس سطح خطر هم پایینتر اومده. تازه برای سواستفاده باید ترکیبی از شرایط مهیا میشد: کاربر اول ویپیان رو فعال کنه بعد RDP بزنه، هکر خبر از باگ داشته باشه و بتونه کاربر رو بندازه تو تله.
چی یاد گرفتیم؟
همیشه قبل استفاده از هر نرمافزاری آپدیتش رو چک کن! مخصوصاً اپلیکیشنهایی که با اینترنت و حریمخصوصی کار دارن مثل ویپیان. خوبی ماجرا اینه که ExpressVPN گفته روند تست و کنترل خودش رو قویتر میکنه تا مشکلات مشابه قبل انتشار نسخه به کاربرا گیر نکنه. همچنین داره سیستم تست اتوماتیک خودش رو هم ارتقا میده.
در آخر…
خبر خوب اینه که الان دیگه این باگ نیست، پس با خیال راحت میتونی ExpressVPN رو تو ویندوز استفاده کنی (ولی حتماً مطمئن شو آخرین نسخه رو داری). این جور باگها به همه نشون میده حتی تو سرویسای خیلی مطمئن هم خطا پیش میاد، مهم اینه که سریع و شفاف باشن و مشکلات رو حل کنن.
راستی:
- اگه اپلیکیشن ExpressVPN موبایل داری، تم dark mode هم فعال شده (که ظاهر مشکی برنامهس و تو شب چشمت اذیت نمیشه).
- ExpressVPN چند وقت پیش به خاطر یه مشکل تمدید خودکار تو آمریکا دادگاهی شده بود؛ اگه کنجکاوی چی بوده سرچ کن!
پس همیشه آپتودیت بمونین و اگه با ویپیان کار میکنین، مقداری هم حواستون به امنیت باشه. 😉
منبع: +
