Seorang peneliti keamanan telah menemukan kelemahan serius pada klien Linux PureVPN yang mengekspos alamat IPv6 asli pengguna dan mengompromikan pengaturan firewall mereka. Temuan ini menyoroti masalah berkelanjutan dengan implementasi IPv6 penyedia VPN dan menimbulkan pertanyaan tentang keandalan klien VPN desktop.
Peneliti tersebut menyerahkan laporan rinci kepada PureVPN pada akhir Agustus 2025 tetapi tidak menerima respons setelah tiga minggu, mendorong pengungkapan publik untuk memperingatkan pengguna lain. Masalah ini memengaruhi antarmuka grafis PureVPN (versi 2.10.0) dan alat command-line (versi 2.0.1) pada sistem Ubuntu.
Versi PureVPN yang Terdampak:
- GUI Client: v2.10.0
- CLI Client: v2.0.1
- Platform: Linux (diuji pada Ubuntu 24.04.3 LTS, kernel 6.8.0)
Lalu Lintas IPv6 Melewati Perlindungan VPN
Kelemahan paling kritis terjadi ketika pengguna mengalami perubahan jaringan seperti menghidupkan/mematikan Wi-Fi atau membangunkan komputer dari mode tidur. Selama peristiwa ini, PureVPN gagal memulihkan perlindungan IPv6 dengan benar, memungkinkan lalu lintas bocor di luar terowongan terenkripsi.
Pada versi command-line, klien tampak berhasil menyambung kembali dan melaporkan status terhubung. Namun, sistem secara diam-diam mendapatkan kembali akses internet IPv6 langsung melalui router advertisements. Karena kebijakan output IPv6 firewall tetap diatur untuk menerima semua lalu lintas, data pengguna mengalir tanpa perlindungan ke situs web dan layanan. Versi grafis menunjukkan perilaku serupa, memblokir lalu lintas IPv4 saat terputus tetapi membiarkan IPv6 berfungsi hingga pengguna secara manual mengklik reconnect.
Peneliti mendemonstrasikan dampak dunia nyata dengan menjelajah situs web dan mengirim email melalui alamat IPv6 penyedia internet mereka sementara antarmuka PureVPN mengklaim perlindungan penuh sedang aktif. Jenis kebocoran ini mengalahkan tujuan utama menggunakan VPN untuk privasi.
IPv6 (Internet Protocol version 6) adalah sistem pengalamatan internet yang lebih baru yang dirancang untuk menggantikan IPv4, menawarkan lebih banyak alamat yang tersedia dan koneksi langsung antar perangkat.
Masalah Keamanan Utama:
- Kebocoran lalu lintas IPv6 setelah peristiwa koneksi ulang jaringan
- Penghapusan aturan firewall secara menyeluruh tanpa pemulihan
- Kill-switch gagal melindungi koneksi IPv6
- Paparan alamat IP asli sementara klien menampilkan status "terhubung"
Konfigurasi Firewall Terhapus
Masalah besar kedua melibatkan penanganan agresif PureVPN terhadap aturan firewall sistem. Saat terhubung ke VPN, perangkat lunak sepenuhnya menghapus konfigurasi iptables yang ada, termasuk aturan keamanan yang ditentukan pengguna, pengaturan firewall UFW Ubuntu, dan aturan jaringan Docker.
Klien mengatur kebijakan input sistem untuk menerima semua koneksi masuk dan menghapus aturan pemblokiran khusus yang mungkin telah dikonfigurasi pengguna dengan hati-hati untuk keamanan. Setelah terputus dari VPN, pengaturan protektif ini tidak pernah dipulihkan, meninggalkan sistem lebih rentan daripada sebelum koneksi VPN.
Perilaku ini bertentangan dengan ekspektasi pengguna dan merusak manfaat keamanan yang dicari banyak orang saat menggunakan perangkat lunak VPN. Pengguna yang mengandalkan aturan firewall lokal untuk perlindungan menemukan pertahanan mereka diam-diam dinonaktifkan.
Iptables adalah sistem firewall bawaan Linux yang mengontrol koneksi jaringan mana yang diizinkan atau diblokir.
Komunitas Menyerukan Solusi yang Lebih Baik
Komunitas VPN telah lama berjuang dengan masalah implementasi IPv6 di seluruh penyedia. Diskusi seputar temuan ini mengungkapkan bahwa Mullvad menonjol sebagai salah satu dari sedikit layanan dengan dukungan IPv6 yang tepat, meskipun biayanya sekitar 5 dolar Amerika Serikat bulanan dibandingkan dengan alternatif yang lebih murah.
Banyak pengguna berpengalaman merekomendasikan untuk menghindari klien VPN desktop sepenuhnya demi network namespaces, yang menciptakan lingkungan jaringan terisolasi untuk lalu lintas VPN. Alat seperti Vopono dan Gluetun dapat mengatur ruang terisolasi ini, mencegah kebocoran bahkan jika klien VPN gagal atau dikompromikan.
Mengandalkan klien-klien ini selalu merupakan perjudian dan jika perangkat lunak Anda tidak dapat mengetahui IP publik Anda hanya IP internal dari VPN, Anda juga aman dari beberapa eksploit dan miskonfigurasi yang tidak akan dilindungi oleh klien desktop.
Diskusi juga menyoroti sejarah bermasalah PureVPN dengan klaim privasi. Dokumen pengadilan dari kasus FBI 2017 mengungkapkan bahwa perusahaan menyediakan log pengguna meskipun janji pemasaran tidak ada logging, menimbulkan kekhawatiran tambahan tentang mempercayai layanan untuk aktivitas sensitif.
Solusi Alternatif yang Disebutkan:
- Mullvad VPN: ~$5 USD/bulan, implementasi IPv6 yang tepat
- Network Namespaces: Alat Vopono dan Gluetun untuk isolasi lalu lintas
- Klien OS asli: Konfigurasi WireGuard , IKEv2 , OpenVPN
- Menonaktifkan IPv6: Sederhana namun membatasi fungsionalitas internet modern
Melangkah Maju
Kegagalan teknis ini menggarisbawahi risiko mengandalkan aplikasi desktop VPN komersial semata untuk perlindungan privasi. Sementara layanan VPN dapat memberikan nilai untuk mengakses konten yang dibatasi geografis atau mendapatkan alamat IP publik, pengguna yang mencari privasi sejati harus mempertimbangkan solusi yang lebih kuat.
Kurangnya respons dari PureVPN terhadap laporan keamanan ini, dikombinasikan dengan sejarah terdokumentasi logging dan kegagalan teknis saat ini, menunjukkan pengguna harus mengevaluasi penyedia alternatif atau metode implementasi. Bagi mereka yang terus menggunakan klien VPN desktop, secara teratur memeriksa kebocoran IPv6 dan memantau konfigurasi firewall menjadi penting untuk mempertahankan perlindungan yang dimaksudkan.
Referensi: PureVPN IPv6 leak