ExpressVPN brengt tijdelijke fix uit voor foutief delen dns-verzoeken met derden

ExpressVPN heeft tijdelijk split tunneling uitgeschakeld. Door een bug werden dns-verzoeken met die functie in sommige gevallen niet naar de servers van ExpressVPN gestuurd, maar naar die van derden. De functie komt later weer beschikbaar.

Volgens ExpressVPN deed de bug zich in sommige gevallen voor in de Windows-versie van zijn vpn-dienst. De fout zat in de functie voor split tunneling. Daarmee kunnen gebruikers het internetverkeer van specifieke apps via de ExpressVPN-servers laten lopen, terwijl andere apps juist via de reguliere dns-servers lopen.

De dns-verzoeken van gebruikers die split tunneling met specifieke instellingen gebruikten, werden volgens de vpn-dienst niet doorgestuurd naar de servers van ExpressVPN. In plaats daarvan gingen ze naar de dns-server die gebruikers bijvoorbeeld op hun pc of in hun routerinstellingen hebben ingesteld, bijvoorbeeld die van hun internetprovider. ExpressVPN verwacht dat de bug minder dan een procent van de gebruikers trof.

Volgens de dienst deed de bug zich voor wanneer gebruikers de 'Only allow selected apps to use the vpn'-instelling gebruikten. Met split tunneling uitgeschakeld, of de 'Do not allow selected apps to use the vpn'-modus, deed de bug zich niet voor.

De bug zit volgens ExpressVPN in versie 12 van zijn Windows-app, specifiek in versies 12.23.1 tot 12.72.0. Die versies verschenen tussen 19 mei 2022 en 7 februari 2024. De dienst heeft split tunneling nu uitgeschakeld in zijn recentste Windows-versie. De feature moet opnieuw worden geïntroduceerd in versie 12, zodra de bug is opgelost. Versie 10 van de Windows-app behoudt split tunneling.

Reacties (45)

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

12 februari 2024 15:39

Mensen die een VPN dienst als dit gebruiken wanen zich vaak anoniem. Je kan je echter afvragen of je niet beter af bent bij een normale provider die in ieder geval nog aan lokale wet- en regelgeving is gebonden in plaats van al je internet verkeer te routeren (en daarmee veel inzicht in het gebruik kunnen krijgen) langs bedrijven met een commerciële insteek die zich vaak in het buitenland hebben gehuisvest en schermen met zaken als "no-log" (wat in de praktijk vaak niet haalbaar blijkt).

Ik vind het bijzonder dat deze kwetsbaarheid zo lang aanwezig is geweest. Diverse VPN producenten leveren een DNS leak test en anders zijn er gratis sites om het e.e.a. te testen.

CAPSLOCK2000

Privacy
Beveiliging en antivirus
Dns
Vpn

@Bor • 12 februari 2024 17:12

Mensen die een VPN dienst als dit gebruiken wanen zich vaak anoniem.

Het helpt ook niet dat er verschillende soorten diensten zijn die de naam VPN dragen omdat ze gebruik maken van VPN-technologie. Specifiek bedoel ik dat er naast dit soort publieke VPN-diensten ook veel privé-VPN's zijn die je bv gebruikt om met het netwerk van je werkgever te verbinden. Mijn werkgever heeft zo'n VPN maar gewone gebruikers beseffen niet dat er een VPN is. Die zetten hun commerciële VPN aan en melden zich dan bij de helpdesk omdat ze nog steeds niet bij hun bestanden kunnen.
Aan de andere kant heb ik gebruikers gehad die verbaast zijn dat IT precies kan zien wie er gebruik maakt van ons VPN en wat ze er mee doen. Mensen verwachten dat ze privacy hebben met een VPN aan, want dat hebben ze in de reclame gehoord.
Als techneut kan ik alle nuances wel uitleggen maar de meeste mensen willen een binair antwoord: VPN is goed of slecht. Moet het aan of uit? Meer willen ze eigenlijk niet weten. (Dit is geen verwijt, mensen werken nu eenmaal zo).

Het zou denk ik al een hoop helpen als we dat onderscheid wel gaan maken, al denk ik dat de comerciele VPNs niet willen meewerken want die profiteren nu van de verwarring.

Er zijn nog andere soorten (of eigenlijk toepassingen van) VPNs maar daar hebben gewone consumten niks mee te maken en techneuten die er wel mee te maken hebben snappen impliciet over welke type VPN het gaat.

Ik vind het bijzonder dat deze kwetsbaarheid zo lang aanwezig is geweest. Diverse VPN producenten leveren een DNS leak test en anders zijn er gratis sites om het e.e.a. te testen.

DNS is zowieso een beetje het zwarte schaap van internet privacy. Ondanks alle maatregelen die we op andere gebieden hebben genomen is DNS redelijk stil bijven staan op het gebied van privacy. Er zijn wel wat pogingen gedaan maar de meeste daarvan zijn vooral het verschuiven van het probleem. DNS-over-HTTPS is daar een voorbeeld van. Het beschermt je tegen spionage door je ISP maar daar staat in praktijk tegenover dat je data dat wel direct naar Google gestuurd wordt. Die oplossing zou wel eens net zo erg als het probleem kunnen zijn. Kies je kwaad.

VPN-providers horen tot de weinigen die aandacht geven aan DNS-privacy. Uiteraard doe ze dat helemaal uit eigen belang, net als ieder bedrijf, en voorgstelde oplossing is typisch maar matig (gebruik DNS van de VPN), maar het is iets. Dus kudo's aan al die VPN-boeren die iets met DNS privacy doen.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 14:32]

Z80 @CAPSLOCK2000 • 12 februari 2024 18:13

Voor DNS zul je ergens je vraag moeten stellen. Welk IP hoort bij deze website?
Die vraag stel ik graag een de isp in de benelux of Duitsland. Aangezien de isp niets met de verkregen data mag doen. En mocht er iemand, niet een daartoe bevoegde instantie, een datatap op mijn internet lijn hebben gezet heb ik een groter probleem. De isp trouwens ook.
In de USA kan het wel een voordeel zijn om de DNS bevraging ergens anders te doen via een beveiligde verbinding. Daar mag de verkregen data wel gebruikt worden. Maar of 1.1.1.1 dan wel 8.8.8.8 de beste keuze zijn? Daar mag iedereen zijn eigen mening over vormen.

MrMarcie @Z80 • 13 februari 2024 11:04

En? Heb je een suggestie voor een goede, snelle hier in EU?

ArnoldSmit @MrMarcie • 13 februari 2024 12:55

https://www.dns0.eu/
Dit lijkt iets te zijn, zelf weinig ervaring mee.
Ik gebruik cloudfare.

MrMarcie @ArnoldSmit • 13 februari 2024 17:48

Kende ik nog niet, duik ik in van de week.

BeefHazard @Z80 • 14 februari 2024 12:12

Dat werkt thuis, maar wat als je met je laptop op de open WiFi van de trein of koffiezaak zit? Of een ander netwerk waarvan je niet weet wat er met DNS gedaan wordt?

Ik gebruik Cloudflare WARP om DNS-over-HTTPS (1.1.1.1) af te dwingen en via split tunneling mijn thuisnetwerk te benaderen. Het is geen 'volledige' VPN die je IP maskeert en daardoor is het internet een stuk bruikbaarder.

Blacklight447 @Bor • 12 februari 2024 17:05

Een VPN is ook niet bedoeld voor anonimiteit, is het nooit geweest en zal het ook nooit worden.

Je moet per threatmodel kijken wat je needs zijn, maar voor anonimiteit op netwerk niveau is TOR op dit moment je beste keuze. (Moet je alleen niet vergeten om dan niet vervolgens op je facebook in te loggen, tor beschermt niet tegen PEBCAK)

turbojet80s @Blacklight447 • 12 februari 2024 17:32

Hoewel een VPN daar oorspronkelijk niet voor is ontwikkeld, pretenderen de VPN-providers toch echt allemaal dat je anoniem bent via hun:

CyberGhost:

Uitgebreide digitale privacy
Onze meest dringende zorg is de privacy en anonimiteit van onze klanten. Ons hoofdkantoor bevindt zich in Roemenië, een land dat bekend staat om het handhaven van strenge privacywetten. We vallen ook buiten de jurisdictie van de 5/9/14 Eyes Alliantie. We delen je gegevens niet met pottenkijkers en ook niet met ISP's en overheidsorganisaties. Ons strikte beleid beleid zonder logboeken weerhoudt ons daarvan! We houden geen logboeken bij van je activiteiten.

NordVPN:

NordVPN maakt je online gegevens
onleesbaar voor anderen
Zodra je verbonden bent, kun je in alle privacy van het internet genieten.

PrivateVPN.com:

If you aren't doing anything wrong or illegal, you may question “why use a VPN?”. We believe that privacy is a basic human right — we never keep data logs. Using a private VPN offers protection and security of your private information.

En ga zo door. Van NordVPN heb ik demonstraties gezien dat er toch gewoon taps kunnen worden gezet op verzoek van de overheid. Ze kunnen inderdaad niet terug in de logs, maar zodra er een tap opstaat worden je je gevens en je acties doorgespeeld naar de betreffende gemachtigde overheidsorganisaties.

Ik routeer persoonlijk al mijn DNS via een lokale DNS-server. Deze DNS- server is verbonden met een DNS over HTTPS bij Cloudflare. Op deze manier bereik ik voor niets hetzelfde. Ik verbind met mijn mobiele devices via Wireguard naar mijn lokale DNS-server. Daar heb je toch weer de VPN 😉.

Maar er speelt natuurlijk veel meer. Gebruik je Chrome als browser dan wordt zo ongeveer alles wat je doet doorgespeeld naar Google. Leuk als je een VPN-verbinding hebt opgezet maar hoe anoniem ben je dan? Zeker als je bent ingelogd.

Ik denk dat het voor niet Tweakers niet te doen is om redelijk anoniem het internet op te gaan. Maar als je bijvoorbeeld veel op onbekende WiFi-netwerken zit of in het buitenland dan is een VPN-dienst misschien zo slecht nog niet.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@turbojet80s • 12 februari 2024 18:08

Ik routeer persoonlijk al mijn DNS via een lokale DNS-server. Deze DNS- server is verbonden met een DNS over HTTPS bij Cloudflare. Op deze manier bereik ik voor niets hetzelfde

Hetzelfde als wat exact? Je verplaatst hier de dns requests gewoon naar cloudflare zo te lezen die hier inzicht in heeft en dit zeer waarschijnlijk ook logged.

turbojet80s @Bor • 12 februari 2024 18:38

Cloudflare is een zeer serieuze partij en schrijft zelf:

What steps does Cloudflare take to protect privacy?
Cloudflare believes data privacy is core to the mission of helping build a better Internet. Cloudflare products are built with privacy in mind, and Cloudflare has released a number of services designed to protect online user privacy:

1.1.1.1 is a free DNS resolver that does not track or store DNS queries (unlike many other DNS resolvers, which may sell this information to advertisers)
Cloudflare supports DNS over HTTPS, which completely encrypts DNS queries

xxs @turbojet80s • 12 februari 2024 19:10

Ik heb een vergelijkbare setup dat ik, ook mobiel, mijn DNS requests via de pihole thuis laat verlopen. Die draait dan weer Unbound (via een VPN) waardoor er niemand een totaal plaatje heeft van mijn DNS requests. En zelf log ik het niet.

[Reactie gewijzigd door xxs op 23 juli 2024 14:32]

Teun! @xxs • 12 februari 2024 23:15

Doet unbound geen dns naar de root servers? Toen ik hier naar keek gingen deze requests unencrypted naar de root servers. En als het niet recursive is komt je data ook (evt encrypted) bij een derde partij.

Mis ik hier wat informatie? Als dit op een andere manier werkt of kan werken zou ik dit graag willen weten!

Blacklight447 @turbojet80s • 12 februari 2024 20:49

Anonimiteit is niet hetzelfde als privacy, het is een vergelijkbaar onderwerp, maar niet het zelfde. Het probleem met een VPN is dat je 1 centrale partij moet vertrouwen. Daarbij, zelfs al spreekt de Provider de waarheid dat ze zelf niks bijhouden, dan betekent dat niet dat de server van de probider niet gehackt kan worden.

Het voordeel van TOR is dat zelfs in het geval dat een van de nodes in de server gehackt of gemonitord word, dat dit geen invloed heeft op je anonimiteit.

Teun! @Blacklight447 • 12 februari 2024 23:18

Alhoewel dit waar is is anonimiteit via TOR ook lastig te waarborgen voor zover ik weet. Ik weet dat er in elk geval succesvolle timing attacks zijn uitgevoerd, en "attacks" mogelijk zijn door genoeg van de servers die beschikbaar zijn als enkele partij te bezitten (hoe realistisch dit is weet ik eerlijk gezegd niet).

Blacklight447 @Teun! • 13 februari 2024 08:50

Oh het klopt dat TOR niet onverslaanbaar is, dat heeft het ook nooit geclaimt te zijn, maar het is simpelweg de beste tool om op netwerk niveau anonimiteit te krijgen.

Waar ik vaak mensen op wijs is het feit dat als een adversary de resources heeft om je door TOR te volgen, een vpn kinder spel voor ze zal zijn, timing attacks werken namelijk net zo goed voor VPNs.

Teun! @Blacklight447 • 13 februari 2024 22:31

Dit ben ik inderdaad zeker met je eens, en het spreid het risico over meerdere nodes tov een VPN. Dit was voor mij puur verduidelijking zodat mensen niet denken dat TOR unbreakable is.

honey @Blacklight447 • 12 februari 2024 21:08

Voor normale toepassingen ben je gewoon wel anoniem. Alleen als er hoogspecialistische maatregelen worden genomen is er een kans dat je niet meer anoniem zult zijn. TOR is ook niet 100% anoniem.

Rembert @Bor • 12 februari 2024 17:01

Het gaat niet altijd zo zeer om anonimiteit alswel om de encryptie op bv. een semi-publieke internetverbinding om zo ook de meta-data af te schermen voor nieuwsgierige oogjes dan wel voor data-sleepnetten. Met dat soort data en wat profilering is het erg gemakkelijk om tot verkeerde of ongewenste conclusies te komen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Rembert • 12 februari 2024 17:21

En die mets data verleg je dan naar een derde partij die daar ook inzage in kan verkrijgen en verlenen.

dehardstyler 12 februari 2024 15:31

Overgenomen door Kape Technologies, dus gewoon niet gebruiken dat ExpressVPN. Net als alle andere producten waar Kape achter zit.

juiced01 @dehardstyler • 12 februari 2024 15:57

Hmm, interessant! Welke VPN providers zijn wel aan te raden?

Mirano

@juiced01 • 12 februari 2024 16:00

https://mullvad.net/nl

Mullvad kan ik echt aanraden. Je krijgt een ID geen account dus privacy wijs heel veilig

Lorenzo. @Mirano • 12 februari 2024 16:17

Ik gebruik ook Mullvad. Daarvoor had ik ExpressVPN, Surfshark en NordVPN als vpn's, ik was toen in een uitzoekfase wat ik fijn vond. Mullvad heeft dus gewonnen want simpel, veilig en snel op mijn locatie. Ook geen DNS leaks of andere grappen dus ik ben zeer tevreden met Mullvad.

Tweakwondo @Lorenzo. • 12 februari 2024 16:40

Mee eens. Wellicht niet de goedkoopste
maar naar mijn mening de beste die er is. Altijd snel goed en relatief goedkoop omdat je per maand kan betalen voor hetzelfde bedrag ipv er een jaar/jaren plan van te maken

Vinnie.1234 @Mirano • 12 februari 2024 17:04

Ik zit even rond te kijken (heb tot op heden nog PIA want door een foutje had ik voor 5 jaar betaald ooit, maar loopt binnenkort af). Maar ik zie dat ze ook veel servers huren. Hoe kunnen ze dan garanderen dat er niets met die servers gebeurd?

Al moet ik zeggen dat ik het al heel mooi vind dat ze dit sowieso op hun website zetten!

Mirano

@Vinnie.1234 • 12 februari 2024 22:25

Als ik het goed zeg, hebben ze het volledige OS in RAM draaien. Dus als er ooit iets mee gebeurt en ze willen het meenemen is alles weg omdat het in de RAM wordt opgestart

Source: https://mullvad.net/nl/bl...m-only-vpn-infrastructure

Vinnie.1234 @Mirano • 13 februari 2024 08:35

Ow dat is wel nice! Dankje!

iqcgubon @juiced01 • 12 februari 2024 16:04

Sinds PIA in handen is van Kape ben ik naar ProtonVPN gegaan.

dehardstyler @juiced01 • 12 februari 2024 16:55

Ik raad altijd Mullvad aan. Geen kortingen, geen acties, gewoon 5 euro betalen en een maand een VPN. Als je ook email goed geregeld wil hebben, dan raad ik de ProtonVPN combo aan. Voor de rest zie ik nog maar weinig echt goede opties die mij vertrouwen geven.

Rembert @juiced01 • 12 februari 2024 16:55

Mullvad en IVPN staan al een paar jaar bovenaan mijn lijstje. Ook op dat lijstje ProtonVPN en Surfshark.

MrMarcie @Rembert • 13 februari 2024 11:08

What about Windscribe?

Rembert @MrMarcie • 13 februari 2024 23:33

De uitslag van de audit door Cure53 is al een jaar over tijd. Dat vind ik geen goed signaal. Daarnaast had Windscribe twee non-encrypted servers en lekte het daar haar private key. Nog een red flag: Windscribe is based in een 5-eyes country, Canada. Al met al, deze staat niet hoog op mijn lijst.

MrMarcie @Rembert • 14 februari 2024 23:27

Dank je, ga ik verder kijken. Gebruikte deze namelijk momenteel.

Asitis @dehardstyler • 12 februari 2024 15:32

Hoe dat zo? Ja, ik kan en zal het gaan Googlen, maar ik gebruik eVPN al sinds jaar en dag en ik heb geen idee waar je het nu over hebt

dehardstyler @Asitis • 12 februari 2024 15:48

Kape is een zeer gure tent, met een twijfelbare historie als "malwareproducent". Er is wat discussie over het feit of ze inderdaad wel zelf de malware aan het distribueren waren, maar ze boden in ieder geval een platform aan waarop het distribueren van malware relatief gezien makkelijk was. Verder hebben ze een Israëlische CIO met een intelligence achtergrond, die in UAE heeft helpen bouwen aan het "Karma" hacking systeem wat daar gebruikt wordt om de bevolking onder de duim te houden.

Daar hoef ik geen VPN van in ieder geval.

edit: check zeker ook even de link van @atthias, dank voor de link!

[Reactie gewijzigd door dehardstyler op 23 juli 2024 14:32]

Tweakwondo @dehardstyler • 12 februari 2024 16:39

Hmm Ik heb jaren geleden express vpn gebruikt zonder echte problemen, daarna met wat kortingen andere vpn diensten gebruikt. De meeste vpn diensten eindigen bij een gure tent, of worden achter af zelf guur etc. In eerste instantie zocht ik altijd voor kortingen en deals etc alleen bij vpn diensten heb ik gemerkt hoe goedkoper hoe minder betrouwbaar. Ik heb een tijdje nordVPN gebruikt voordat het populair werd en ondanks het goed werkte werd ik gek van hun agressieve sponsorships met youtube etc. Ik draai nu met mullvad vpn en ben zeer te vrede met hen het enige wat ik mis is portforwarding.

Geen gedoe of gezeur de klantenservice is goed te bereiken snelle communicatie etc.
ooit een account herstel kunnen krijgen via hun support. Omdat je geen "echt" account hebt maar een nummertje

dehardstyler @Tweakwondo • 12 februari 2024 16:59

Ik ben het helemaal eens met je reactie en ben zelf ook met NordVPN begonnen. Wat mij hier vooral tegen de borst stootte is dat je NordVPN redelijk vaak met 100% cashback kunt kopen (dus gratis). En als iets gratis is wordt jij het product vaak.

Dus daarom daar toen weggaan en naar Mullvad verhuist. Komt allemaal zeer betrouwbaar over, ook met de flat fee, geen kortingen, acties etc. Gewoon een goed product dat doet wat het moet doen.

Ik vind dat dit overigens ook geldt voor ProtonVPN. Dat zijn de enige 2 die ik nog aanraadt.

Tweakwondo @dehardstyler • 12 februari 2024 20:03

Fijn om te horen

Betreft protonVPN ben ik het ook deels mee eens, ja ik kan het iedereen ook aanrader echter is dit wel een vpn waarbij ik doelde op een jaren plan. ProtonVPN kost op dit moment namelijk 10 euro per maand, alleen als je een twee (2) jarige abonnement afneemt betaal je 4,99 p/m (zonder acties)wat je dus ook betaalt bij mullvad met maandelijkse opzegtermijn.
wel is port forwarding mogelijk bij proton.

Ik beheer een aantal dingen via een thuis vpn echter als dat nodig is dan zet ik de vpn even uit maar goed voor de rest
lukt alles met mullvad

Cambionn

@Tweakwondo • 13 februari 2024 05:36

ProtonVPN is vooral interesant als je ook andere diensten bij hun afneemt, zoals mail. Dan wordt het totaalplaatje financieel een stuk aantrekkelijker.

Als je enkel VPN wil is het idd wel duur. Dan is Mullvad vaak idd een aantrekkelijkere keus.

atthias @dehardstyler • 12 februari 2024 17:07

graag gedaan herinnerde me deze vage club nog van het verleden toen je hem noemde dus toen even gaan zoeken voor een link die dat aan anderen zou kunnen verklaren waarom deze club niet echt ene goede reputatie heeft

funrider @Asitis • 12 februari 2024 15:54

Googlen levert deze resultaten o.a. op: CNET artikel, Reddit users die klagen over langzame lokale servers, Reddit opsomming van partijen die ze hebben opgekocht in afgelopen jaren.

atthias @dehardstyler • 12 februari 2024 15:35

dit artikel verteld waarom https://www.technadu.com/...kape-technologies/304917/

Lifelogger 12 februari 2024 18:04

De laatste keer dat ik onderzoek deed naar Mullvad, blokkeerden ze nog geen ads, en zo. Dat doen ze tegenwoordig wel, zie ik? Dat is wel mooi. Was voor mij altijd een reden om niet naar ze over te stappen.

ari2asem 12 februari 2024 19:38

https://www.privacyguides.org/en/vpn/

als je een vpn zoekt

Op dit item kan niet meer gereageerd worden.

ExpressVPN brengt tijdelijke fix uit voor foutief delen dns-verzoeken met derden

Lees meer

Reacties (45)

Sorteer op:

Weergave: