VPN provider Windscribe vergat servers te versleutelen

Abonneer je gratis op Techzine!

Windscribe had VPN-servers, die door Oekraïne in beslag zijn genomen, niet versleuteld. Autoriteiten daar konden zich daarom voordoen als Windscribe-servers en het verkeer dat er doorheen ging vastleggen en decoderen.

De Canadese provider Windscribe, met meer dan vijf miljoen installaties van diens Androidapp, meldde kort geleden dat twee van zijn VPN-servers in Oekraïne in beslag waren genomen. De servers, waarop de OpenVPN software draaide, waren nog steeds geconfigureerd om een ​​instelling te gebruiken die in 2018 werd afgeschaft, nadat een beveiligingsonderzoek kwetsbaarheden aan het licht bracht.

Naast het ontbreken van encryptie, gebruikte het bedrijf ook datacompressie om de netwerkprestaties te verbeteren. Al in 2018 bleek dat die vorm van compressie kwetsbaar is. Zo’n aanval, bekend als Voracle, gebruikt aanwijzingen die zijn achtergelaten in de compressie om gegevens te decoderen die worden beschermd door op OpenVPN gebaseerde VPN’s. Een paar maanden later beëindigde OpenVPN die functie, maar Windscribe dus niet.

Viel eigenlijk wel mee?

“We maken geen excuses voor deze nalatigheid,” reageert Yegor Sak, directeur van Windscribe. “Beveiligingsmaatregelen die er hadden moeten zijn, waren er niet. Na het uitvoeren van een dreigingsanalyse, zijn we van mening dat de manier waarop dit is afgehandeld en beschreven in ons artikel de beste stap vooruit was. Het trof zo min mogelijk gebruikers, terwijl het onwaarschijnlijke en hypothetische scenario, dat het gevolg is van de inbeslagname, transparant werd aangepakt.”

Volgens Sak zijn er geen gebruikersgegevens in gevaar geweest, omdat “de aanvalsvector om gebruik te maken van de sleutels vereist dat de aanvaller volledige controle heeft over het netwerk van het slachtoffer.” Sak stelt dat de hypothetische situaties niet langer exploiteerbaar zijn, omdat de veilige update van de problemen vorige week werd voltooid.