7 VPN-Anbieter werden beschuldigt, die persönlichen Daten von 20 Millionen Benutzern verloren zu haben
Wir haben auf diesen Seiten oft gesagt, dass alles, was Sie im Internet lesen, mit einer Prise Salz aufgenommen werden sollte, und leider haben wir viel zu viele Beispiele dafür, warum dieser Rat mehr denn je gültig ist. Ein Forscherteam von VPNMentor hat uns kürzlich ein weiteres zur Verfügung gestellt.
Die Entdeckung betraf insgesamt sieben VPN-Apps (Virtual Private Network), die alle versprechen, keine persönlichen Daten und Aktivitätsdaten der Personen zu speichern oder aufzuzeichnen, die sie verwenden. In Wirklichkeit haben die Forscher jedoch bewiesen, dass die Apps nicht nur eine Menge Informationen aufzeichnen, sondern diese auch auf einem Server ablegen, der sie der ganzen Welt zugänglich macht.
Table of Contents
VPN-Apps speichern Benutzerdaten in einer ungeschützten Elasticsearch-Datenbank
Die Namen der Apps lauten UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN. Die Apps können unter verschiedenen Namen geführt werden, aber die Forscher sind fast davon überzeugt, dass sie vom selben Entwickler erstellt wurden. Sie alle haben ihren Sitz in Hongkong, einige von ihnen haben ähnlich aussehende Websites, und nicht zuletzt speichern sie alle Benutzerdaten in derselben Backend-Infrastruktur.
Leider entdeckten die Experten die letzten Informationen, nachdem sie eine Elasticsearch-Datenbank gefunden hatten, die nicht durch ein Kennwort geschützt war und etwa 1,2 TB Benutzerdaten enthielt. Wenn man den behaupteten Nutzerbasis der VPN-Anbieter Glauben schenken sollte, könnte die Anzahl der betroffenen Personen bis zu 20 Millionen betragen, und für einige von ihnen könnten die Folgen des Lecks ziemlich schwerwiegend sein.
Persönliche Daten, Klartextkennwörter und Aktivitätsprotokolle wurden offengelegt
Die Forscher waren neugierig, ob die Informationen echt waren. Dazu haben sie eine der Apps (UFO VPN) heruntergeladen, sich angemeldet und mit der Verwendung begonnen. Augenblicke später wurden die E-Mail-Adresse und das Klartext-Passwort, mit dem sie das Konto registriert hatten, in der ungesicherten Elasticsearch-Datenbank angezeigt.
Zusätzlich zu den Anmeldedaten fanden die Experten eine Reihe von personenbezogenen Daten, darunter Namen, physische Adressen und private IP-Adressen. Sensible PayPal-API-Links könnten die Konten zahlender Kunden beim Zahlungsabwickler anzeigen, und es gab auch Informationen darüber, mit welchen Servern sie verbunden waren, als sie die Apps verwendeten.
Eine der schockierendsten Entdeckungen der Forscher war jedoch das Vorhandensein von Aktivitätsprotokollen. Die Experten von VPNMentor haben Screenshots von Datensätzen freigegeben, die den Standort des Benutzers, die Art der verwendeten Verbindung, den Zeitstempel und die Domäne enthalten, die sie erreichen wollten. Soviel zu den Behauptungen, dass keine Browserdaten gespeichert sind.
Die Auswirkungen für die Benutzer könnten verheerend sein
Die virtuellen privaten Netzwerke, die von diesen sieben Apps bereitgestellt wurden, waren sehr wenig privat, und dies könnte ein großes Problem für die Benutzer sein. Einer der von VPNMentor freigegebenen Screenshots zeigt beispielsweise, dass eine Person im Iran das VPN zum Anzeigen von Materialien für Erwachsene verwendet hat. Pornografie ist im Iran verboten, und wenn diese Person identifiziert wird, droht ihnen möglicherweise eine Gefängnisstrafe.
Darüber hinaus werden VPNs im Allgemeinen häufig von Aktivisten und Personen verwendet, die ihre wahre Identität wirklich nicht preisgeben möchten, und die sieben Apps, die ihre Daten offengelegt haben, könnten sie in eine sehr prekäre Situation gebracht haben. Es ist gut, dass die Datenbank gesichert wurde und die Informationen nicht mehr öffentlich zugänglich sind. Es war jedoch schwieriger, es herunterzubringen, als es hätte sein sollen.
Die VPN-Anbieter behaupten, nichts falsch gemacht zu haben
Die Experten von VPNMentor entdeckten die Datenbank am 5. Juli und machten sich sofort auf den Weg, um die VPN-Anbieter zu informieren. Zunächst antwortete nur eines der Unternehmen, und es schien unsicher zu sein, was los war. Auch die Kommunikation der Forscher mit dem Computer Emergency Response Team (CERT) in Hongkong brachte keine Früchte. Da sich der Server in den USA befand, konnten die Behörden von Hongkong wenig dagegen tun.
Am 15. Juli wurde die Datenbank endgültig offline geschaltet, und die Forscher erhielten eine Antwort von UFO VPN, dem größten der betroffenen VPN-Anbieter. In der E-Mail wurde angegeben, dass UFO VPN den Konfigurationsfehler aufgrund von "Personaländerungen" im Zusammenhang mit der COVID-19-Pandemie übersehen hat. Sie versuchten den Forschern zu versichern, dass sie die Passwörter der Benutzer nicht im Klartext speichern und keine Browsing-Aktivitäten aufzeichnen. Das Leck selbst ist ein Beweis dafür, dass dies nicht der Fall war.
Seit einiger Zeit wird diskutiert, ob die Verwendung eines VPN eine gute Idee ist, wenn Sie Ihre Identität verbergen möchten. Vorfälle wie dieser helfen sicherlich nicht bei VPNs, und im Laufe der Jahre haben wir von einigen Anbietern gehört, die nicht genug tun, um die Privatsphäre der Benutzer zu schützen. Ein gut konfiguriertes virtuelles privates Netzwerk, das von einem Unternehmen angeboten wird, das Sie nicht ausspionieren möchte, kann jedoch nicht nur dann äußerst nützlich sein, wenn Sie auf Inhalte zugreifen möchten, die in Ihrem Land nicht verfügbar sind, sondern auch, wenn Sie dies versuchen ein gewisses Maß an Anonymität bewahren. Letztendlich beweisen solche Lecks, dass Benutzer bei der Auswahl eines VPN-Anbieters äußerst vorsichtig sein sollten.
