Onderzoeker: vpn-provider PureVPN kan IPv6-adres gebruikers lekken
Vpn-provider PureVPN kan in bepaalde gevallen het IPv6-adres van gebruikers lekken en wist firewall-instellingen zonder die te herstellen, wat echte gevolgen kan hebben, zo waarschuwt een beveiligingsonderzoeker genaamd Andreas. De onderzoeker informeerde PureVPN over de problemen, maar kreeg naar eigen zeggen geen reactie. Daarop heeft Andreas besloten de details openbaar te maken.
Het lekken van het IPv6-adres kan zich in twee situaties voordoen, zo ontdekte de onderzoeker. Wanneer de PureVPN-software detecteert dat de verbinding is verbroken verschijnt er een waarschuwing van de grafische gebruikersinterface en wordt al het IPv4-verkeer geblokkeerd. Gebruikers kunnen er vervolgens voor kiezen om opnieuw verbinding met PureVPN te maken of door te internetten. IPv6 wordt echter niet geblokkeerd en blijft gewoon werken. Pas als de gebruiker ervoor kiest om de vpn-verbinding te herstellen gaat ook het IPv6-verkeer via PureVPN.
Ook vanaf de command line kan een dergelijk IPv6-lek zich voordoen wanneer de verbinding even wordt verbroken. De vpn-client herstelt vervolgens de verbinding en laat zien dat de software actief is. Het IPv6-verkeer gaat echter niet via de vpn-verbinding. Verder stelt Andreas dat PureVPN de iptables configuratie wist, waardoor het systeem kwetsbaarder achterblijft bij het gebruik van de vpn-dienst dan wanneer PureVPN niet wordt gebruikt. "Beide problemen hebben echte gevolgen. Privacyclaims worden ondermijnd wanneer je IPv6-adres lekt en je firewall state verloren gaat", aldus de onderzoeker.
Wat volgens mij ook het beste is.
De mobiele app gebruik ik niet, want dan loopt de accu leeg waar ik bijsta.
Wat volgens mij ook het beste is.
De mobiele app gebruik ik niet, want dan loopt de accu leeg waar ik bijsta.
De accu loopt toch altijd leeg als je er bij staat?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?