De acordo com o Bleeping Computer, o aplicativo Kaspersky VPN possuía uma falha que vazava os servidores DNS configurado do computador enquanto a conexão VPN estava ativa. A Kaspersky já corrigiu o bug.
Uma VPN, caso você não saiba, apenas deixa um usuário completamente anônimo quando esconde desde o endereço de IP até o servidor DNS.
Além dos servidores DNS da conexão VPN, também estava vendo o servidor DNS configurado em seu computador local
Segundo o pesquisador Dhiraj Mishra, essa falha no app existe em versões 1.4.0.216 e anteriores. Após a descoberta, Mishra enviou o relato ao HackerOne, que paga um valor X aos pesquisadores por vulnerabilidade reportada.
“Ao usar o Kaspersky VPN e realizar um teste de vazamento por meio de https://ipleak.net/, ele descobriu que, além dos servidores DNS da conexão VPN, também estava vendo o servidor DNS configurado em seu computador local”, explicou o Bleeping.
Mishra, contudo, comentou que ganhou apenas “reputação” com a descoberta: a Kaspersky decidiu não pagá-lo via HackerOne.
“Eu estava esperando alguma recompensa, porque eu esperei mais de 5 meses para resolver isso, mas nenhuma recompensa foi concedida pela Kaspersky, eles apenas aumentaram minha reputação na plataforma HackerOne”, disse Mishra ao BleepingComputer.
Categorias