VPN (virtual Private Network), het netwerk dat veel bedrijven gebruiken voor thuiswerkers, is minder veilig dan gedacht. Dat blijkt uit onderzoek van de Sapienza Universiteit van Rome in samenwerking met de Queen Mary Universiteit van London.
De onderzoekers hebben veertien VPN-systemen getest. Elf hadden een IPv6-lek. Oorzaak is de overstap van IPv4 naar IPv6. Versie 6 van het internetprotocol voor toewijzing van IP-adressen wordt nog lang niet door alle systemen ondersteund.
IPv6 wordt al wel vaak geïmplementeerd, maar veel VPN-systemen ondersteunen en beschermen alleen nog IPv4-verkeer. Zodoende kunnen de recente VPN-systemen informatie over gebruikers lekken.
De onderzoekers testten hun theorie op twee manieren. Eerst werd het onversleutelde verkeer gemonitord. Daarna leidden ze de webbrowsers om naar criminele webservers door het Domain Name System te wijzigen (DNS-hijacking).
Bezoekers komen daardoor terecht op een malafide kopie van een legitieme website. Welke informatie zo in verkeerde handen valt, verschilt nogal. Via een HTTPS-verbinding lekt er alsnog niets.
