Vpn-dienst ExpressVPN heeft ip-adressen gelekt van gebruikers die op Windows een remote desktopsessie hadden opgezet, zo heeft het zelf bekendgemaakt. Er is een update voor de software uitgebracht die het probleem verhelpt. Het probleem deed zich voor wanneer er een RDP (remote desktop protocol)-sessie was opgezet of er verkeer via TCP-poort 3389 ging. In deze gevallen ging het verkeer niet via de vpn-tunnel van ExpressVPN.

Een externe onderzoeker wees ExpressVPN op het probleem. Volgens de vpn-dienst lag de oorzaak in debugcode die oorspronkelijk was bedoeld voor testdoeleinden, maar onbedoeld in de productieversies van de software terechtkwam. Volgens ExpressVPN zorgde het lek ervoor dat een internetprovider of andere partij op hetzelfde netwerk van de gebruiker niet alleen kon zien dat er verbinding werd gemaakt met ExpressVPN, maar ook met specifieke remote servers over RDP. Informatie die normaliter beschermd zou zijn.

De vpn-dienst werd op 25 april ingelicht en kwam vijf dagen later met een update, zo heeft het een aantal dagen geleden bekendgemaakt. ExpressVPN claimt dat de impact voor gebruikers klein was, omdat "doorsnee consumenten" die het als klant heeft normaliter geen gebruik van RDP zouden maken. Om herhaling te voorkomen zegt de vpn-dienst dat het beter gaat controleren op de aanwezigheid van debugcode.