Az ExpressVPN javított egy kritikus hibát a Windows kliensében, amely miatt a Remote Desktop Protocol (RDP) forgalom kikerülhette a VPN-alagutat, így felfedve a felhasználók valódi IP-címét.
A VPN-ek egyik legfontosabb funkciója, hogy elfedik a felhasználók IP-címét, anonimitást biztosítva az interneten és ezzel bizonyos esetekben lehetővé téve akár a cenzúra megkerülését is. Ha egy VPN-szolgáltatás ezen a téren hibázik, az súlyos technikai mulasztásnak minősül.
Az ExpressVPN a világ egyik legismertebb VPN-szolgáltatója, amely RAM-alapú szervereket üzemeltet (így nem tárol adatokat) és független auditokkal alátámasztott „no-logs” (naplómentes) politikát követ.
2025. április 25-én egy „Adam-X” nevű biztonsági kutató egy sérülékenységet jelentett az ExpressVPN bug bounty programján keresztül. A hiba lehetővé tette, hogy az RDP-n és más TCP-forgalmon (3389-es port) keresztülmenő adatok kikerüljék a VPN-alagutat. A cég belső vizsgálata szerint a problémát olyan hibakereséshez használt kódmaradványok okozták, amelyeket végül véletlenül a gyártási verziókba is beépítettek — egészen pontosan a 12.97-es verziótól (négy hónappal ezelőtti megjelenés) a 12.101.0.2-beta verzióig.
Az RDP egy Microsoft-hálózati protokoll, amely lehetővé teszi a felhasználók számára, hogy távolról irányítsanak Windows rendszereket. Jellemzően IT-adminisztrátorok és távoli munkát végzők használják vállalati környezetben. Az ExpressVPN állítása szerint amennyiben a felhasználó RDP-kapcsolatot létesített, annak forgalma megkerülhette a VPN-alagutat. Bár a titkosítás önmagában nem sérült, az RDP-kapcsolatok nem az ExpressVPN-en keresztül kerültek továbbításra, ahogy az elvárható lett volna. Így egy megfigyelő, például az internetszolgáltató vagy egy másik jelenlévő a helyi hálózaton nemcsak azt láthatta, hogy a felhasználó VPN-t használ, hanem azt is, mely távoli szerverekhez csatlakozik RDP-n keresztül. Ennek az információnak normális esetben rejtve kellene maradnia.
A vállalat hangsúlyozza, hogy a sebezhetőség nem veszélyeztette az adatfolyam titkosítását, és a szivárgás kizárólag az RDP-használatra korlátozódott, amit pedig alacsony kockázatúnak tartanak, főként mivel az átlagfelhasználók ritkán használják ezt a protokollt. Az ExpressVPN közleménye szerint ügyfélkörük döntő többsége magánfelhasználó, nem pedig vállalati ügyfél, ezért a ténylegesen érintettek száma várhatóan alacsony.
A hibát a 12.101.0.45-ös verzióval javították, ami 2025. június 18-án jelent meg. Az NBSZ NKI a maximális védelem érdekében minden felhasználónak az ExpressVPN Windows kliens 12.101.0.45-es verzióra való frissítését javasolja!