Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet No-Log VPN-Apps legen Millionen User-Identitäten offen

Unter der Leitung des Datenschutzexperten Noam Rotem hat das Team von vpnMentor aktuell herausgefunden, dass bei einer Reihe kostenloser VPN-Apps deren Datenbanken auf dem Server vollständig offen und frei zugänglich für jedermann waren. Die von dem Leak betroffenen VPN-Dienste sind UFO-VPN, FAST-VPN, Free-VPN, Super-VPN, Flash-VPN, Secure-VPN und Rabbit-VPN.

Nutzen von VPN-Verbindungen für mehr Privatsphäre

Verbindungen von VPN-Diensten sind für anonymes Surfen unerlässlich. Sie dienen zum einem dem Schutz gegen Cybercrime, um keine sensiblen Daten preiszugeben, wie Kreditkartendaten oder Dokumente, zur Missbrauchsvorbeugung. Hierbei kann man keine Daten von außen einsehen, denn der Datenverkehr wird komplett verschlüsselt. Zum anderen kann man durch VPN-Nutzung Geoblocking-Sperren umgehen.

Ein weiterer Vorteil ergibt sich daraus, dass VPN die Privatspäre schützt. Eine Überwachung der Internetaktivitäten durch den Internet-Provider oder eine Einschränkung der benutzten Dienste ist unter VPN-Verwendung unmöglich. Der Aufenthaltsort bleibt anonym, da die IP-Adresse für Außenstehende unbekannt ist. Weder Regierungsdienste, noch andere Personen haben Zugriff auf Internetaktivitäten. Aufzeichnungen oder Zensur wird so deutlich erschwert, wenn nicht sogar ausgeschlossen. Soweit zumindest die Theorie.

20 Millionen VPN-Userdaten stehen offen im Netz

Was aber ist, wenn VPN-Dienste personenbezogene Daten (PII) für über 20 Millionen VPN-Benutzer offen für jedermann einsehbar im Netz stehen? VpnMentor urteilt darüber wie folgt:

„Dieser Mangel an grundlegenden Sicherheitsmaßnahmen eines Cybersicherheitsprodukts ist nicht nur schockierend. Es zeigt auch eine völlige Missachtung der Standard-VPN-Praktiken, die ihre Benutzer gefährden.“

Personally Identifiable Information (PII) sind personenbezogene Daten, aus denen ein spezielles Individuum identifizierbar ist. In diesem Fall wurden Aktivitätsprotokolle genauso geleakt, wie PII (Namen, E-Mails, Privatadresse), Klartextkennwörter, IP-Adressen, Bitcoin-Zahlungsinformationen, Supportnachrichten, Informationen zu persönlichen Geräten, technische Daten, Kontoinformationen, direkte Paypal-API-Links. Die Gesamtzahl der Dateien umfasst 1.083.997.361 Datensätze in einer Gesamtgröße von 1,207 TB. Die Datenschutzexperten schätzen ein, dass mögliche Auswirkungen von Betrug über Doxing, Erpressung, Virusangriff sowie Hacking, Verhaftung und Verfolgung reichen könnten.


Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

VPN-Dienste warben mit No-Log und besonderen Sicherheitsfunktionen
Die von dem Daten-Leak betroffenen VPN-Dienste sind UFO-VPN, FAST-VPN, Free-VPN, Super-VPN, Flash-VPN, Secure-VPN und Rabbit-VPN. Laut den jeweiligen Anbieter-Websites wirbt jeder Anbieter mit Sicherheitsfunktionen auf Militärniveau. Zudem locken sie Kunden damit, dass es sich bei den Diensten um „No-Log“ -VPNs handelt. Das bedeutet, dass sie keine Benutzeraktivitäten in ihren jeweiligen Apps aufzeichnen, um die Informationssicherheit der Benutzer zu verbessern. Dies steht jedoch im krassen Widerspruch zu dem, was die Forscher in ihrem Report aufdeckten. Diese fanden zusätzlich zu dem Datenleak gleich mehrere Instanzen von Internet – Aktivitätsprotokollen auf deren Shared-Server. Sie haben in ihrem Bericht detaillierte Aktivitätsprotokolle von jedem VPN aufgezeigt, wobei die persönlichen User-Informationen und die Browsing-Aktivitäten genauso sichtbar wurden, wie die unverschlüsselten Klartextkennwörter.


Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!
Basierend auf den folgenden Erkenntnissen kommen die Forscher zu dem Schluss, dass die genannten VPNs denselben Entwickler haben und für die Verwendung unter mehreren Namen umbenannt wurden:

  • Die VPNs teilen sich einen gemeinsamen ElasticSearch-Server.
  • Sie werden auf denselben Assets gehostet.
  • Sie haben einen einzigen Zahlungsempfänger, Dreamfii HK Limited.
  • Mindestens drei der VPN-Dienste auf dem Server haben auf ihren Websites ein nahezu identisches Branding.

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

vpnMentor kontaktierte betreffende VPN-Anbieter
Am 5. Juli haben die Experten zunächst den Kundensupport der Unternehmen kontaktiert, die vier der VPNs vermarkten, sowie die Entwickler der VPNs selbst: Dreamfii HK Ltd (UFO VPN); Mobipotato HK Limited (SCHNELLES VPN), Starxmobi HK Ltd (kostenloses VPN) und Nownetmobi (Super-VPN).

Gleicher Server, fast gleiches Aussehen?
Mobipotato reagierte schnell, schien sich jedoch der Probleme eines ungesicherten Servers nicht bewusst zu sein – insbesondere eines Servers, der Informationen enthält, die nicht aufgezeichnet werden sollen. Sie verstanden nicht, was „PIIs und ihre Auswirkungen“ sind. Erst am 15. Juli, 10 Tage nach der ersten Kontaktaufnahme, konnte das Team verifizierten, dass die Datenbank gesichert wurde und keine Benutzerprotokolle mehr durchsickern. Am selben Tag erfolgte eine Antwort vom UFO VPN-Team:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Tipps der Sicherheits-Experten an VPN-Entwickler und VPN-Benutzer
Das Team von vpnMentor gibt noch einige Tipps an die Entwickler, wie dieses Leck zu vermeiden gewesen wäre mit einigen zum Schutz der Datenbank getroffen Sicherheitsmaßnahmen. Dazu gehören:
  • Sicherung seiner Server.
  • Implementierung der richtigen Zugriffsregeln.
  • Lassen Sie niemals ein System, für das keine Authentifizierung erforderlich ist, für das Internet offen.
  • Protokollieren Sie keine sensiblen, persönlichen Benutzerdaten, sofern dies nicht erforderlich ist. Wenn diese Daten protokolliert werden müssen, sollte man sie gemäß den höchsten Sicherheitsstandards verschlüsseln.
An die VPN-Benutzer, die eines der von diesem Datenleck betroffenen VPN-Anbieter verwenden, empfehlen die Experten, zu einem sichereren Anbieter zu wechseln.

VpnMentor ist eigenen Angaben zufolge der weltweit größte Anbieter für VPN-Überprüfungen. Deren Forschungslabor ist ein Pro-Bono-Dienst, der der Online-Community dabei helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen und Organisationen über den Schutz der Daten ihrer Benutzer zu informieren. Das Forschungsteam für ethische Sicherheit hat einige der wichtigsten Datenlecks der letzten Jahre entdeckt und aufgedeckt. Offenkundig finanziert man sich u.a. über die eingebauten Affiliate-Links zu mehreren VPN-Anbietern, die man auf der eigenen Webseite
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Am fahrlässigen Vorgehen mancher Firmen ändert dies freilich nichts.

proxy.jpg

Quelle; tarnkappe
 
Hihi da nutzt man VPN um sicher zu sein und ist es nicht . Der richtige VPN Anbieter ist dem Fall entscheidend.
Lieber was zahlen als free apps nutzen
 
Zurück
Oben