Разработчики ExpressVPN убрали функцию раздельного туннелирования в последней версии приложения. Причина — выявленный недавно баг, из-за которого раскрывались некоторые DNS-запросы и, как следствие, история посещения веб-ресурсов.
Компания признаётся, что ошибка присутствовала в версиях с 12.23.1 по 12.72.0 включительно. Таким образом, ряд запросов сливался с 19 мая 2022 года по 7 февраля 2023-го.
Проблема затрагивала тех пользователей, которые включали раздельное туннелирование — функцию выборочной маршрутизации трафика как в VPN-туннеле, так и вне его.
Как правило, эта функциональность нужна для гибкой настройки клиента, где требуется как локальный, так и безопасный удалённый доступ.
Наличие бага приводило к тому, что пользователь не соединялся с инфраструктурой ExpressVPN, а направлялся к интернет-провайдеру. Обычно все DNS-запросы должны проходить через сервер ExpressVPN, который не хранит логи, чтобы не дать провайдерам и другим организациям отслеживать посещаемые пользователем домены.
Тем не менее ошибка конфигурации позволяла отдельным запросам отправляться на сервер провайдера, что открывало возможность для отслеживания привычек пользователей.
Таим образом, юзеры на Windows с включённым раздельным туннелированием раскрывали историю посещения веб-сайтов, что в корне противоречит принципам VPN-софта.
Пользователям ExpressVPN рекомендуют обновиться до версии 12.73.0, в которой баг уже отсутствует.
