De onderzoekers hebben een gigantische scan uitgevoerd op ruim tienduizend willekeurig geselecteerde VPN-servers uit een poel van bijna vier miljoen IP-adressen en brachten hun alarmerende rapport deze week naar buiten. Het blijkt dat 77 procent van alle geteste VPN's nog steeds gebruik maakt van het oude SSLv3 protocol (uit 1996!) en enkele tientallen zelfs nog steeds het nog oudere SSLv2 protocol. Beide protocollen zijn al flink verouderd en kunnen makkelijk worden gekraakt.

Daarnaast gebruikte 76 procent van alle geteste servers ook nog eens onbetrouwbare certificaten waardoor kwaadwillenden makkelijk man-in-the-middle-aanvallen kunnen uitvoeren en data (bestanden, wachtwoorden, e-mails) kunnen onderscheppen.

74% van alle servers maakt gebruik van de onveilige SHA-1 handtekeningen en 5 procent zelfs de nog oudere MD5-variant. Hackers kunnen deze misbruiken om nep-certificaten na te maken en te ondertekenen.

Tegenwoordig is het gebruikelijk om voor het uitwisselen van sleutel een RSA-sleutel te gebruiken die 2048 tekens lang is. Alle sleutels die korter zijn dan 2048 tekens worden beschouwd als onveilig. Het team schrok dan ook behoorlijk toen uit hun scan bleek dat 41 procent van alle gescande servers genoegen nam met een sleutel van 1024 tekens lang.

10 procent van de gescande servers bleek bovendien nog gebruik te maken van een ongepatcht OpenSSL-protocol en zijn daardoor nog steeds vatbaar voor het heartbleed gat.

Uiteindelijk bleek maar 3 procent van de VPN-diensten te voldoen aan de PCI DSS-eisen en hield geen enkele server zich aan de nieuwe NIST-guidelines

Al met al staat het er erg slecht voor met de meeste VPN-diensten. Iets wat je in je achterhoofd zal moeten houden als je met zo'n dienst in zee gaat.