Twee servers van de Canadese vpn-provider Windscribe die eind juni door de Oekraïense autoriteiten in beslag werden genomen waren niet versleuteld. Op de servers stond een OpenVPN-servercertificaat en de bijbehorende private key. Hierdoor kunnen de Oekraïense autoriteiten zich als de Windscribe vpn-servers voordoen en het vpn-verkeer onderscheppen en inzien, zoals bezochte websites, zo heeft het bedrijf in een blogposting bekendgemaakt.
Windscribe zag op 24 juni dat twee servers in Oekraïne opeens offline waren. De betreffende hostingprovider liet weten dat ze in beslag waren genomen als onderdeel van een onderzoek naar activiteiten die een jaar eerder hadden plaatsgevonden. Volgens Windscribe had de hostingprovider niet laten weten dat er eerder dit jaar een hoorzitting had plaatsgevonden waarbij er een vonnis werd gewezen dat de twee servers in kwestie in beslag mochten worden genomen.
"Op de schijf van die twee servers stond een OpenVPN-servercertificaat en diens private key. Hoewel we servers in gevoelige gebieden versleutelen, draaiden de servers in kwestie een legacy stack en waren niet versleuteld", aldus de vpn-provider. Die laat tevens weten dat de huidige OpenVPN-severs gebruikmaken van een sinds 2018 uitgefaseerde compressie-optie, waardoor een aanvaller in bepaalde gevallen kan achterhalen welke http-websites vpn-gebruikers bezoeken. Windscribe geeft aan dat het de beveiliging van de vpn-dienst gaat aanscherpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.