VPN’s zijn minder veilig dan gedacht, zo blijkt uit onderzoek. Een Virtual Private Network (VPN) wordt juist gebruikt om internetverkeer te beveiligen en af te schermen.
De oorzaak van het lek ligt in de overstap van IPv4 naar IPv6. Dit is versie 6 van het internetprotocol voor het toewijzen van IP-adressen. In IPv6 zit een kwetsbaarheid waardoor veel VPN’s informatie lekken over gebruikers. IPv6 wordt steeds vaker geïmplementeerd, terwijl veel VPN’s alleen IPv4-verkeer beschermen.
Elf van de veertien
Vasile C. Perta, Marco V. Barbera en Alessandro Mei van de Sapienza Universiteit van Rome hebben in samenwerking met Gareth Tyson en Hamed Haddadi van de Queen Mary Universiteit van London onderzoek gedaan naar veertien VPN’s. Elf hiervan hadden een IPv6-lek.
HTTPS
De onderzoekers hebben hun theorie getest met twee typen aanval. De ene was het passief monitoren van onversleuteld verkeer. De tweede was DNS hijacking: webbrowsers worden omgeleid naar criminele webservers door het Domain Name System te wijzigen. Hierdoor komen bezoekers terecht op een malafide kopie van een legitieme website. Welke informatie van gebruikers hierdoor in verkeerde handen valt, loopt uiteen. Als het internetverkeer via een HTTPS-verbinding verloopt, kan geen informatie via deze methode worden ontvreemd.