In den letzten Tagen haben Meldungen zu Fast VPN, UFO VPN Datenleaks über Benutzerdaten bei VPN Services die Medien erreicht, daraus resultierend sind die gefundenen Daten aber nicht so umfangreich wie oftmals vermutet und wir haben uns das näher angesehen um hierbei aufzuklären. Diese kostenlosen VPN Apps schützen die Daten der Nutzer nicht und bergen deutliche Gefahren für die Nutzer.
Inhaltsverzeichnis
Welche VPN Services sind betroffen?
Zum einen es betrifft verschiedene VPN-Marken, die alle zu Dreamfii HK Limited aus HongKong gehören. Diese Firma betreibt mit den eigenen Servern einige unterschiedliche Marken wie: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN. Unter diesen Namen steckt immer die selbe Technik, also die Server und Apps von Dreamfii HK. Genau genommen kann man also nur von einem VPN Service sprechen, welcher ein Datenleak hatte.
Die betroffenen VPN Services sind auch wegen LifeTime oder FREE VPN, also kostenlosen Angeboten für Nutzer bekannt. Wir haben in vielen Artikeln darüber bereits bereits vor Jahren gewarnt und es sollten Nutzern klar sein, dass solche Angebote sich von seriösen VPN-Anbieter deutlich unterscheiden!
FREE VPN Apps
Das perfide an diesen Anbietern ist dazu, dass diese kostenlos auch als Apps in vielen App Stores zur Verfügung stehen. Die Nutzer denken, dass dadurch keine Daten verfügbar sind, allerdings stimmt das nicht. Daher sind Nutzer die solche unseriösen FREE VPN Apps installieren bereits in Gefahr.
Kostenlose VPN Services mit deutlichen Gefahren
FREE VPN Apps und Services dieser Marken sind häufig genutzt aber bergen eben enorme Gefahren für die Datenintegrität.
Diese Marken stechen am Markt zumeist heraus indem diese eine ziemlich aggressive Werbestrategie verfolgen und Nutzer mit geringen Preisen ködern wollen. Wir haben in etlichen Artikeln davor gewarnt solche Service zu verwenden. Nutzer die sich aber für eine dieser Marken entschieden haben, haben meistens kaum Sicherheitsbedenken und es ist eigentlich schon beim Öffnen der Webseiten klar, dass diese Services eigentlich nur auf Vertrieb optimiert wurden und keine wirklichen seriösen Sicherheitsbedürfnisse abdecken werden können. Ganz häufig findet man auch Lifetime Angebote der Service Marken im Internet wieder, das Ziel des Unternehmens ist es mit diesen Marken möglichst in kurzer Zeit viel Geld zu verdienen, langfristige Bestandskundenvorsorge würde mit solchen Angebote ja auch gar nicht klappen. Wem das nicht klar ist steht ohnehin etwas weltfremd diesen Angeboten gegenüber. Nachhaltiger Betrieb eines VPN Service kann ja niemals mit Lifetime Angeboten erreicht werden.
Links:
Welche Daten wurden zugänglich?
Der Datenleak umfasst die Datenbank in welcher alle Nutzertransaktionen stattgefunden haben. Diese enthalten neben den IP-Adressen der Anwender beim Verbinden oder auch beim Kauf der Services auch Zeitstempel und sogar Benutzernamen/Passwörter im Klartext. Das ist insoferne auch für die Nutzer relevant, da diese Daten wenn diese auch bei anderen Online-Services genutzt werden (E-Mail, Benutzername, Passwort Kombinationen) dort ebenfalls nun für Unsicherheuit sorgen werden. Was aber nicht enthalten war sind Daten zu den Aktivitäten der Nutzer, also weder welche Seite jemand über den VPN Service geöffnet hatte, noch welche IP-Adressen die Nutzer zu einem bestimmten Zeitpunkt durch den Service zur Verfügung gestellt bekommen haben oder verwendeten. Also die Daten sind nun nicht so aussagekräftig, dass damit das Surfverhalten der Nutzer nachvollzogen werden kann, aber natürlich Benutzernamen + Passwörter und die realen IP-Adressen der Nutzer zu veröffentlichen ist ein ziemlich deutlicher Verstoß gegen alle Privatsphäre Regeln.
Welche Daten genau wurden geleakt?
Uneingeschänkter Zugriff auf die Datenbank der Webseite der Services und des Kundenbereiches war möglich. Daraus folgernd wurden Daten der Nutzer als auch deren Kontodaten und Zahlungsdaten verfügbar. Die gesamte Datenmenge umfasste knapp 1,2 Terrabyte und diese Daten sind seither auch bei anderen Quellen im Internet frei zugänglich. Das bedeutet, dass die darin enthaltenden Daten auch Dritten zugänglich sind und Nutzer davon ausgehen müssen, dass diese auch für andere Angriffe verwendet werden.
Enthaltende Daten:
Zugriff auf die Nutzerdatenbank der Webseite war ungeschützt möglich. Damit wurden alle Daten die im Kundenbereich der VPN Services sichtbar sind oder die notwendig sind um sich im Kundenbereich anzumelden veröffentlicht. Dies inkludiert Zahlungsdaten + Transaktionen + Benutzerdaten der Anwender.
Es war kein Zugriff auf die VPN-Server oder deren Nutzungsdaten möglich!
Die Reaktion der VPN-Services
Bei UFO VPN hat man auf die Hinweise mittlerweile reagiert und zumindest den öffentlichen Zugriffe auf die Datenbank beendet. Gleichzeitig betont man, dass die gesammelten Logs nur aus „Performance-Analyse-Gründen“ gesammelt werden. Auch erfolge die Speicherung anonymisiert. Dies widerspricht allerdings der Entdeckung der Sicherheitsforscher, die auch bei UFO eindeutig zuordenbare Daten wie IP-Adressen gefunden haben. Von den anderen Diensten, die zum Teil noch mehr Daten als UFO VPN gesammelt haben, gab es zunächst keinerlei Reaktion. Allerdings ist davon auszugehen, dass die Daten zwar nicht mehr direkt abrufbar sind, aber durch Dritte bereits gesichert und erneut veröffentlicht wurde. In zahlreichen Darknet Foren wurden bereits Links zu den Daten veröffentlicht.
Was sollte man nun tun?
Wir möchten Nutzern die die Services jemals verwendet haben raten, dass diese Ihre verwendeten Email-Adressen und vor allem Passwörter ändern und auch darauf achten, dass sie diese Passwörter in jedem Konto eines anderen Services ebenso umgehend ändern. Die Gefahr die nun bereits genutzt wird ist, dass EMail – Benutzername – Passwort Kombinationen die durch diesen Datenleak veröffentlicht wurden auch bei anderen Online-Plattformen und Services automatisiert ausprobiert werden. Daher reicht es nicht diese Daten nur beim betreffenden VPN-Service anzupassen.
Kunden/Nutzer dieser VPN-Services sind betroffen:
- FAST VPN
- Free VPN
- Super VPN
- Flash VPN
- Secure VPN
- Rabbit VPN
Tipps für die VPN-Auswahl beachten!
Nutzer sollten sich auch überlegen, ob es Sinn macht weiterhin diese Services zu verwenden, ähnliche VPN Marken werden auch dazu benutzt um eben mit krimineller Energie die Nutzerdaten zu stehlen. Daher nicht jeder VPN Service ist auch vertrauenswürdig und gerade auch FREE VPN Apps und Lockangebote dienen oft nur dazu, den Zugriff auf Benutzerdaten zu erlangen. Wähle daher eine vertrauenswürdigen VPN Anbieter.
VPN Service denen man vertraut
Weiterhin gilt, dass Nutzer seriöser Anbieter allerdings keine Probleme zu erwarten haben. Es ist aber wichtig, und das betonen wir immer wieder, dass man VPN Services vertrauen muss. Daher dies sind keine leichtfertigen Entscheidungen und wer das durch unseriöse VPN Anbieter entstehende Risiko herunterspielt, der hat ganz häufig in Folge mit solchen Datenleaks und eventuell schlimmeren Auswirkungen zu tun.
Nutzer von seriösen VPN-Anbietern haben keine Probleme zu befürchten.
Erstellt am: 21. Juli 2020