[Questo articolo è stato aggiornato con commenti esclusivi da PureVPN. Scorri sotto per maggiori dettagli]

PureVPN ha avuto due vulnerabilità che consentirebbero agli hacker di recuperare le password memorizzate attraverso il client VPN. Ciò è stato confermato dal ricercatore di sicurezza di Trustwave, Manuel Nader, e dal provider VPN stesso.

Una delle due vulnerabilità è stata risolta nel frattempo, mentre l'altra rimane attiva e PureVPN ha, secondo Nader, “accettato il rischio”.

La vulnerabilità che è stata patchata ha visto le password salvate memorizzate in testo in chiaro, su questa posizione: 'C: \ ProgramData \ purevpn \ config \ login.conf

Tutti gli utenti hanno avuto la possibilità di accedere e leggere il file semplicemente aprendolo attraverso il CMD. Questa vulnerabilità è stata corretta nella versione 6.1.0. e chiunque usi PureVPN è caldamente consigliato di aggiornare alla versione più recente, il prima possibile.

PureVPN ancora vulnerabile

La seconda vulnerabilità è quella che rimane aperta e la società ha deciso di "accettare il rischio". Ecco come Trustwave spiega la vulnerabilità:

“Il client Windows PureVPN fornito da PureVPN può consentire a un utente malintenzionato locale di recuperare la password memorizzata dell'ultimo utente che ha eseguito correttamente l'accesso al servizio PureVPN. Per questo motivo, un utente malintenzionato locale può ottenere le credenziali PureVPN di un altro utente quando una macchina Windows ha più utenti se hanno eseguito correttamente l'accesso. L'attacco viene eseguito esclusivamente tramite la GUI (interfaccia utente grafica), non è necessario utilizzare uno strumento esterno.”

Quindi, in pratica, avresti bisogno di aprire il client Windows, aprire la configurazione, il profilo utente e fare clic su "Mostra password".

Un portavoce di PureVPN ci ha inviato la seguente dichiarazione.

"Questa non è una vulnerabilità piuttosto una funzionalità che abbiamo implementato per facilitare i nostri utenti. Già nell'aprile 2018, quando Trustwave ci ha segnalato, abbiamo valutato il rischio e lo abbiamo trovato minimamente a causa della progettazione dei nostri sistemi. Per comprendere questa caratteristica e perché l'abbiamo valutata come rischio minimo, ti preghiamo di leggere:

I nostri sistemi funzionano in modo leggermente diverso rispetto alla maggior parte degli altri provider VPN. Per una maggiore sicurezza, utilizziamo password separate per l'accesso alle aree membro e alla VPN. La password Area membro che è più privilegiata non viene mostrata nelle app, è la password di accesso VPN che è oggetto di questa funzione. Inoltre, per impostazione predefinita, le nostre password VPN sono generate dal sistema e non impostate dagli utenti. Ciò limita il rischio che gli utenti utilizzino la stessa password per gli account VPN che utilizzano per i loro account sensibili altrove su Internet. D'altra parte, questo design avanzato per la sicurezza si è dimostrato un po 'difficile per alcuni dei nostri utenti e quindi abbiamo offerto un modo per recuperare facilmente la loro password VPN.

Per ora la comunità ha sollevato preoccupazioni e la confonde come una vulnerabilità, abbiamo temporaneamente rimosso la funzionalità e rilasciato una versione più recente 6.2.2. A quegli utenti dei nostri che utilizzano praticamente questa funzione per recuperare la password separata per VPN, vorremmo informare che abbiamo in programma di ridisegnare il futuro, tenendo presenti queste preoccupazioni e rilasciarlo nella nostra versione di novembre 2018.

Usiamo Bugcrowd, un programma pubblico di Bug Bounty che impiega circa 90.000 hacker etici per testare il nostro prodotto. Restiamo in stretta collaborazione con la community di InfoSec e quindi disponiamo di processi così aggressivi e semplificati per aver rilasciato la nuova versione 6.2.2 in poche ore."

Chi è interessato a saperne di più sulle VPN e su come contribuisce a migliorare la tua privacy online, assicurati di leggere il nostro articolo Best VPN.