PureVPN'de iki güvenlik açığı tespit edildi!

PureVPN'in, VPN istemcisi aracılığıyla saklanan şifreleri almasına izin verecek iki güvenlik açığına sahip olduğu anlaşıldı. Bu bilgi, Trustwave'ın güvenlik araştırmacısı Manuel Nader ve VPN sağlayıcısı tarafından doğrulandı.

'C: \ ProgramData \ purevpn \ config \ login.conf' adresinde, kullanıcıların şifrelerini kayıt eden bir kod satırı vardı.
Firma yetkilerinin açıklamaları doğrultusunda, bu güvenlik açığı 6.1.0 sürümü ile giderildi. 

PureVPN hala savunmasız

İkinci güvenlik açığı hakkında Trustwave: "PureVPN tarafından sağlanan PureVPN Windows İstemcisi, bir saldırganın PureVPN hizmetine başarıyla giriş yapmış olan son kullanıcının kayıtlı parolasını almasına izin verebilir. Bu nedenle, bir saldırgan, birden fazla kullanıcının paylaştığı bilgisayarlardan kolayca başka bir kullanıcı PureVPN kimlik bilgilerini alabilir. Saldırı, yalnızca GUI (Grafik Kullanıcı Arayüzü) üzerinden yapılıyor." açıklamasında bulundu.

 

Basitçe; Windows istemcisini açmanız, Yapılandırma, Kullanıcı Profili'ni açmanız ve "Şifreyi Göster" seçeneğini tıklamanız gerekir.

 

PureVPN sözcüsü,"Şifreyi göster özelliği, kullanıcılarımızın kolaylığı için konuşlandırdığımız bir özellik değil, bir güvenlik açığıdır. Nisan 2018'de, Trustwave'nin bize bildirdiği zaman, riski değerlendirdik ve karmaşık sistem tasarımından riski minimum düzeyde bulduk. Sistemlerimiz diğer VPN sağlayıcılarının çoğundan biraz daha farklı çalışır. Gelişmiş güvenlik için, Üye Alanı ve VPN erişimi için ayrı şifreler kullanıyoruz. Daha öncelikli olan Üye Alanı şifresi, uygulamalarda gösterilmez. Ayrıca, varsayılan olarak, VPN şifrelerimiz sistem tarafından oluşturulmuş ve kullanıcılar tarafından ayarlanmamıştır. Öte yandan, bu geliştirilmiş güvenlik tasarımı, kullanıcılarımızdan birkaçı için biraz zorlayıcı oldu ve dolayısıyla VPN şifrelerini kolayca alabilmeleri için bir yol sunduk. Şimdilik endişelerimizi dile getirdik ve bunu bir güvenlik açığı olarak değerlendirdiğimiz için bu özelliği geçici olarak kaldırdık ve daha yeni bir sürüm olan 6.2.2'yi kullanıma sunduk. VPN için gelecekteki yeni tasarımımızda bu endişeleri akılda tutmayı planladığımızı ve Kasım 2018 tarihli sürümümüzde kolay şifre seçeneğinin tekrar yayınlayacağımızı bildirmek isteriz. Ürünümüzü test etmek için 90,000 etik korsandan oluşan bir halk Bug Bounty Programı'nı kullanıyoruz." ifadelerine yer verdi.