Dziurawe usługi VPN, które pozwalają hakerom odczytywać rzeczywiste adresy IP komputerów

Jak podaje Perfect Privacy (dostawca usług internetowych), w wielu mechanizmach VPN oferowanych przez dostawców takiej usługi istnieje dziura, która pozwala hakerom odczytywać rzeczywisty adres komputera. Dotyczy to też komputerów, na których użytkownicy uruchamiają sesje łączności wykorzystujące protokół BitTorrent. Podatność dotyczy tych usług, które wykorzystują mechanizm „port forwarding” (operacja przekierowywania portów).

Haker może przeprowadzić skuteczny atak tylko wtedy gdy, gdy będą spełnione dwa warunki. Przede wszystkim musi znajdować się w samej sieci VPN co ofiara. Drugi warunek – ofiara musi zostać przez hakera zachęcona do tego, aby zacząć korzystać z zasobów kontrolowanych przez hakera. Czyli połączyć się np. z witryną, do odwiedzenia której namówił go haker. Gdy użytkownik otworzy wtedy interesujący go plik (np. grafikę) znajdujący się na takiej witrynie, haker – wykorzystując mechanizm przełączania portów - może odczytać rzeczywisty adres IP jego komputera.

Firma Perfect Privacy przetestowała – przed podaniem do publicznej wiadomości informacji o tym, że dziura taka istnieje - ofertę dziewięciu dostawców usługi VPN i stwierdziła, że w pięciu przypadkach podatność rzeczywiście istnieje. Dostawcy ci zostali oczywiście o tym fakcie natychmiast powiadomieni.

Zobacz również:

  • Dlaczego warto korzystać z VPN w 2024 roku?
  • qBittorrent to otwarty klient BitTorrent. Lepsze pobieranie i udostępnianie

Podatność jest niebezpieczna, gdyż pozwala hakerom identyfikować adresy IP komputerów inicjujących np. sesje łączności VPN bazujące na protokole BitTorrent. Z usług tego protokołu korzysta oprogramowanie uTorrent (darmowy klient sieci BitTorrent) dostępny w wersji dla wielu popularnych systemów operacyjnych. Dlatego Perfect Privacy usilnie namawia dostawców usług VPN do tego, aby przetestowali swoje systemy IT i sprawdzili, czy nie są podatne na to zagrożenie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200