Das Team von vpnMentor hat herausgefunden, dass bei einer Reihe kostenloser VPN-Appsdie Datenbanken auf dem Server vollständig offen waren.
Unter der Leitung des Datenschutzexperten Noam Rotem hat das Team von vpnMentor aktuell herausgefunden, dass bei einer Reihe kostenloser VPN-Apps deren Datenbanken auf dem Server vollständig offen und frei zugänglich für jedermann waren. Die von dem Leak betroffenen VPN-Dienste sind UFO-VPN, FAST-VPN, Free-VPN, Super-VPN, Flash-VPN, Secure-VPN und Rabbit-VPN.
Nutzen von VPN-Verbindungen für mehr Privatsphäre
Verbindungen von VPN-Diensten sind für anonymes Surfen unerlässlich. Sie dienen zum einem dem Schutz gegen Cybercrime, um keine sensiblen Daten preiszugeben, wie Kreditkartendaten oder Dokumente, zur Missbrauchsvorbeugung. Hierbei kann man keine Daten von außen einsehen, denn der Datenverkehr wird komplett verschlüsselt. Zum anderen kann man durch VPN-Nutzung Geoblocking-Sperren umgehen. Ein weiterer Vorteil ergibt sich daraus, dass VPN die Privatspäre schützt. Eine Überwachung der Internetaktivitäten durch den Internet-Provider oder eine Einschränkung der benutzten Dienste ist unter VPN-Verwendung unmöglich. Der Aufenthaltsort bleibt anonym, da die IP-Adresse für Außenstehende unbekannt ist. Weder Regierungsdienste, noch andere Personen haben Zugriff auf Internetaktivitäten. Aufzeichnungen oder Zensur wird so deutlich erschwert, wenn nicht sogar ausgeschlossen. Soweit zumindest die Theorie.
20 Millionen VPN-Userdaten stehen offen im Netz
Was aber ist, wenn VPN-Dienste personenbezogene Daten (PII) für über 20 Millionen VPN-Benutzer offen für jedermann einsehbar im Netz stehen? VpnMentor urteilt darüber wie folgt:
„Dieser Mangel an grundlegenden Sicherheitsmaßnahmen eines Cybersicherheitsprodukts ist nicht nur schockierend. Es zeigt auch eine völlige Missachtung der Standard-VPN-Praktiken, die ihre Benutzer gefährden.“
Personally Identifiable Information (PII) sind personenbezogene Daten, aus denen ein spezielles Individuum identifizierbar ist. In diesem Fall wurden Aktivitätsprotokolle genauso geleakt, wie PII (Namen, E-Mails, Privatadresse), Klartextkennwörter, IP-Adressen, Bitcoin-Zahlungsinformationen, Supportnachrichten, Informationen zu persönlichen Geräten, technische Daten, Kontoinformationen, direkte Paypal-API-Links. Die Gesamtzahl der Dateien umfasst 1.083.997.361 Datensätze in einer Gesamtgröße von 1,207 TB. Die Datenschutzexperten schätzen ein, dass mögliche Auswirkungen von Betrug über Doxing, Erpressung, Virusangriff sowie Hacking, Verhaftung und Verfolgung reichen könnten.
VPN-Dienste warben mit No-Log und besonderen Sicherheitsfunktionen
Die von dem Daten-Leak betroffenen VPN-Dienste sind UFO-VPN, FAST-VPN, Free-VPN, Super-VPN, Flash-VPN, Secure-VPN und Rabbit-VPN. Laut den jeweiligen Anbieter-Websites wirbt jeder Anbieter mit Sicherheitsfunktionen auf Militärniveau. Zudem locken sie Kunden damit, dass es sich bei den Diensten um „No-Log“ -VPNs handelt. Das bedeutet, dass sie keine Benutzeraktivitäten in ihren jeweiligen Apps aufzeichnen, um die Informationssicherheit der Benutzer zu verbessern. Dies steht jedoch im krassen Widerspruch zu dem, was die Forscher in ihrem Report aufdeckten. Diese fanden zusätzlich zu dem Datenleak gleich mehrere Instanzen von Internet – Aktivitätsprotokollen auf deren Shared-Server. Sie haben in ihrem Bericht detaillierte Aktivitätsprotokolle von jedem VPN aufgezeigt, wobei die persönlichen User-Informationen und die Browsing-Aktivitäten genauso sichtbar wurden, wie die unverschlüsselten Klartextkennwörter.
Basierend auf den folgenden Erkenntnissen kommt vpnMentor zu dem Schluss, dass die genannten VPNs denselben Entwickler haben und für die Verwendung unter mehreren Namen umbenannt wurden:
- Die VPNs teilen sich einen gemeinsamen ElasticSearch-Server.
- Sie werden auf denselben Assets gehostet.
- Sie haben einen einzigen Zahlungsempfänger, Dreamfii HK Limited.
- Mindestens drei der VPN-Dienste auf dem Server haben auf ihren Websites ein nahezu identisches Branding.
vpnMentor kontaktierte betreffende VPN-Anbieter
Am 5. Juli haben die Experten zunächst den Kundensupport der Unternehmen kontaktiert, die vier der VPNs vermarkten, sowie die Entwickler der VPNs selbst: Dreamfii HK Ltd (UFO VPN); Mobipotato HK Limited (SCHNELLES VPN), Starxmobi HK Ltd (kostenloses VPN) und Nownetmobi (Super-VPN).
Gleicher Server, fast gleiches Aussehen?
Mobipotato reagierte schnell, schien sich jedoch der Probleme eines ungesicherten Servers nicht bewusst zu sein – insbesondere eines Servers, der Informationen enthält, die nicht aufgezeichnet werden sollen. Sie verstanden nicht, was „PIIs und ihre Auswirkungen“ sind. Erst am 15. Juli, 10 Tage nach der ersten Kontaktaufnahme, konnte das Team verifizierten, dass die Datenbank gesichert wurde und keine Benutzerprotokolle mehr durchsickern. Am selben Tag erfolgte eine Antwort vom UFO VPN-Team:
„Aufgrund der durch COVID-19 verursachten Personaländerungen haben wir nicht sofort die Fehler gefunden, die zu einem potenziellen Risiko von Hackerangriffen führen könnten. Diese hat man nun behoben.“
Tipps von vpnMentor an VPN-Entwickler und VPN-Benutzer
Das Team von vpnMentor gibt noch einige Tipps an die Entwickler, wie dieses Leck zu vermeiden gewesen wäre mit einigen zum Schutz der Datenbank getroffen Sicherheitsmaßnahmen. Dazu gehören:
- Sicherung seiner Server.
- Implementierung der richtigen Zugriffsregeln.
- Lassen Sie niemals ein System, für das keine Authentifizierung erforderlich ist, für das Internet offen.
- Protokollieren Sie keine sensiblen, persönlichen Benutzerdaten, sofern dies nicht erforderlich ist. Wenn diese Daten protokolliert werden müssen, sollte man sie gemäß den höchsten Sicherheitsstandards verschlüsseln.
An die VPN-Benutzer, die eines der von diesem Datenleck betroffenen VPN-Anbieter verwenden, empfehlen die Experten, zu einem sichereren Anbieter zu wechseln.
VpnMentor ist eigenen Angaben zufolge der weltweit größte Anbieter für VPN-Überprüfungen. Deren Forschungslabor ist ein Pro-Bono-Dienst, der der Online-Community dabei helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen und Organisationen über den Schutz der Daten ihrer Benutzer zu informieren. Das Forschungsteam für ethische Sicherheit hat einige der wichtigsten Datenlecks der letzten Jahre entdeckt und aufgedeckt. Offenkundig finanziert man sich u.a. über die eingebauten Affiliate-Links zu mehreren VPN-Anbietern, die man auf der eigenen Webseite prominent präsentiert. Am fahrlässigen Vorgehen mancher Firmen ändert dies freilich nichts.
Tarnkappe.info