VPNs existem para proteger a privacidade do usuário, mascarando o endereço IP e criptografando a navegação. Essa promessa é o principal atrativo desses serviços, especialmente para quem valoriza segurança em redes públicas ou busca anonimato online. No entanto, essa confiança foi abalada por uma falha grave no cliente Windows da ExpressVPN, uma das ferramentas mais populares do mercado.
A vulnerabilidade permitia que o endereço IP real dos usuários fosse exposto durante sessões com o protocolo RDP (Remote Desktop Protocol) — um cenário preocupante, sobretudo para profissionais que dependem de conexões remotas. Neste artigo, vamos detalhar o que aconteceu, quem está em risco, como resolver o problema e quais lições devem ser tiradas para o futuro.
A relevância do incidente se acentua por envolver a ExpressVPN, uma empresa respeitada por sua política de privacidade rígida e práticas avançadas de segurança. Se uma falha grave ocorre em um serviço desse porte, vale a pena redobrar a atenção em qualquer plataforma que prometa sigilo total.
O que aconteceu: a vulnerabilidade do ExpressVPN explicada
A falha ExpressVPN afetou usuários do sistema Windows e está relacionada ao uso do Protocolo de Área de Trabalho Remota (RDP), uma tecnologia amplamente utilizada para acessar computadores remotamente.
Mais especificamente, o problema envolvia a porta TCP 3389, padrão para conexões RDP. Quando o usuário iniciava uma sessão RDP enquanto conectado ao ExpressVPN, o tráfego dessa conexão não era roteado corretamente através do túnel VPN. O resultado? O endereço IP real do usuário podia ser exposto para a rede local, provedores de internet e qualquer observador na cadeia de tráfego.
A descoberta foi feita graças ao programa de bug bounty da própria ExpressVPN, o que permitiu uma resposta relativamente rápida e transparente.
A causa do problema: um erro de depuração
A origem do vazamento está em um trecho de código de depuração que permaneceu acidentalmente nas versões de produção do software. Esse código, que deveria existir apenas durante o desenvolvimento, criou um comportamento inesperado nas conexões RDP.
As versões afetadas do cliente Windows vão da 12.97 até a 12.101.0.2-beta. Todas essas compilações compartilhavam o mesmo erro, agora classificado como crítico, dado o impacto potencial em termos de exposição de dados.
Quem foi afetado e qual o risco real?
O risco se aplica especificamente a usuários que tenham utilizado sessões RDP enquanto conectados ao ExpressVPN no Windows. A própria empresa minimizou o impacto, alegando que a maioria de seus usuários são consumidores comuns que raramente usam esse protocolo.
No entanto, essa justificativa ignora o fato de que o simples uso de uma VPN já demonstra preocupação com privacidade. Assim, qualquer vazamento de IP — mesmo que associado a um protocolo específico — é considerado uma violação grave de confiança.
Correção já está disponível: como atualizar e se proteger
A boa notícia é que a ExpressVPN já lançou uma atualização para corrigir o problema. A versão corrigida é a 12.101.0.45, disponibilizada em 18 de junho de 2025.
Para garantir sua proteção:
- Abra o aplicativo ExpressVPN no Windows.
- Clique no menu de configurações e vá até a seção “Sobre”.
- Verifique o número da versão.
- Caso esteja utilizando qualquer versão entre a 12.97 e a 12.101.0.2-beta, faça a atualização imediatamente.
A própria ExpressVPN já notificou os usuários afetados, mas recomenda-se que todos os usuários no Windows confirmem sua versão como precaução.
Um histórico preocupante? O que essa falha diz sobre a confiança em VPNs
Este não é o primeiro incidente envolvendo o ExpressVPN. Em 2021, uma falha no recurso de split-tunneling (que permite escolher quais apps usam a VPN) causou um vazamento de DNS, expondo dados de navegação.
Apesar desses eventos, é importante reconhecer as boas práticas da empresa, como:
- Servidores apenas com memória RAM, que evitam armazenamento permanente de dados.
- Auditorias independentes regulares para validar políticas de privacidade.
- Programa de recompensa por falhas (bug bounty), que permite a descoberta rápida e responsável de vulnerabilidades.
Dessa forma, embora falhas técnicas possam acontecer, o diferencial está na forma como a empresa responde. No caso da falha ExpressVPN, a correção foi rápida e acompanhada de comunicação transparente — elementos que ajudam a manter a credibilidade, mesmo diante de incidentes sérios.
Conclusão: a vigilância é a chave para a privacidade
A falha grave no cliente Windows da ExpressVPN expôs o IP real de usuários em sessões RDP, comprometendo a premissa central de uma VPN: a ocultação da identidade online. Apesar da rápida correção, o caso levanta discussões importantes sobre a confiabilidade de ferramentas que prometem privacidade total.
A principal lição é clara: mesmo serviços consolidados não estão imunes a falhas, e cabe ao usuário adotar uma postura ativa em relação à sua segurança digital. Isso inclui:
- Manter aplicativos atualizados;
- Ler changelogs e notas de versão;
- Estar atento a anúncios de segurança.
Verifique agora a versão do seu cliente ExpressVPN e compartilhe este alerta com amigos que também usam o serviço para garantir a segurança de todos.
