UFO VPN: Passwörter und sensible Daten von bis zu 20 Mio. Kunden geleakt

Bis zu 20 Mio. User-Daten könnten beim VPN-Service UFO geleakt worden sein. Ein Vorfall der zeigt, dass wir VPNs nicht blind vertrauen, sondern skeptisch und kritisch auswählen sollten.

von Michael Sprick am 18. Juli 2020

Das Security-Team der Consumer-Tech-Website Comparitech hat einen Datenleak beim VPN-Service UFO VPN entdeckt. Dabei wurden über 20 Mio. Logdaten, User-Daten und sogar Passwörter geleakt.

Die genaue Anzahl der User, die von dem Datenleak betroffen sind, ist derzeit noch nicht klar. UFO VPN gibt jedoch an, dass sie 20 Mio. Kunden zu haben. Fest steht aber, dass sowohl kostenlose als auch zahlende User vom Leak betroffen sind. Besonders schädigend für den Ruf von UFO VPN dürfte der Umstand sein, dass das Unternehmen behauptet, überhaupt keine Registrations- oder persönlichen Daten zu speichern. Lediglich für die Sicherstellung der Performance des Networks würden Log-Daten temporär gespeichert.

Der in Hongkong ansässige VPN-Service behauptet zudem, dass die geleakten Daten komplett anonym sind und keine Identitätsfeststellung erlauben. Der Befund von Comparitech legt jedoch nahe, dass diese Aussage alles andere als wahr ist. Daher rät die Website allen Usern von UFO VPN auch dazu, sofort die Passwörter bei UFO VPN zu ändern. Wird das hinterlegte Passwort auch bei anderen Websites benutzt, sollten diesen ebenfalls geändert werden.

Insgesamt sind 894 GB an Daten für etwa 3 Wochen zugreifbar gewesen. Eine Schwachstelle beim Server soll dabei der Grund gewesen sein. Unter den Daten befanden sich:

  • Passwörter im Klartext
  • IP-Adressen der User und dem jeweiligen VPN-Server, mit dem sie sich verbanden
  • Session-Daten: Verbindungszeiten, Keys und Token
  • Geo-Daten
  • Geräte- und Betriebssystemdaten
  • URL-Adressen, die wohl dazu genutzt werden, Werbung bei kostenlosen Accounts einzuspielen

Fatal sind vor allem die Passwörter, die als Klartext gespeichert sind. Aber auch die übrigen Daten sind als Ganzes sehr bedenklich. Mit ihnen könnten User persönlich identifiziert werden. Session-Daten könnten dazu genutzt werden, weitere Daten zu entschlüsseln, an die Hacker in evtl. anderen Angriffen gelangt sind.

E-Mail-Adressen, die indirekt ausgelesen werden könnten, könnten dazu genutzt werden, gezielte und individuell zugeschnittene Phishing- oder sogar Epressungsmails zu versenden.

Mit der Veröffentlichung dieses Befunds beabsichtigt, Comparitech Kunden von UFO VPN zu warnen sowie das Bewusstsein für Security- und Datenschutz-Probleme auch bei VPNs zu verbessern.

UFO VPNS Hauptverkaufsargument ist, in China und anderen asiatischen Ländern geblockte Websites zu entsperren. Auf der Website spricht das Unternehmen aus Hongkong jedoch durchaus auch ein englischsprachiges, internationales Publikum an.

Heiss diskutiert
2021 mit guten Datenschutz-Vorsätzen beginnen
von Michael Sprick
2021 mit guten Datenschutz-Vorsätzen beginnen
Die besten Apps für euer iPhone und iPad (Januar 2021)
von Felix Baumann
Die besten Apps für euer iPhone und iPad (Januar 2021)
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
von Michael Sprick
“Repressive Maßnahme”- GB-Richterin widerspricht US-Auslieferung
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe
von Michael Sprick
Telegram’s neues Feature “Leute in der Nähe” ist eine datenschutztechnische Vollkatastrophe

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft