Das Security-Team der Consumer-Tech-Website Comparitech hat einen Datenleak beim VPN-Service UFO VPN entdeckt. Dabei wurden über 20 Mio. Logdaten, User-Daten und sogar Passwörter geleakt.
Die genaue Anzahl der User, die von dem Datenleak betroffen sind, ist derzeit noch nicht klar. UFO VPN gibt jedoch an, dass sie 20 Mio. Kunden zu haben. Fest steht aber, dass sowohl kostenlose als auch zahlende User vom Leak betroffen sind. Besonders schädigend für den Ruf von UFO VPN dürfte der Umstand sein, dass das Unternehmen behauptet, überhaupt keine Registrations- oder persönlichen Daten zu speichern. Lediglich für die Sicherstellung der Performance des Networks würden Log-Daten temporär gespeichert.
Der in Hongkong ansässige VPN-Service behauptet zudem, dass die geleakten Daten komplett anonym sind und keine Identitätsfeststellung erlauben. Der Befund von Comparitech legt jedoch nahe, dass diese Aussage alles andere als wahr ist. Daher rät die Website allen Usern von UFO VPN auch dazu, sofort die Passwörter bei UFO VPN zu ändern. Wird das hinterlegte Passwort auch bei anderen Websites benutzt, sollten diesen ebenfalls geändert werden.
Insgesamt sind 894 GB an Daten für etwa 3 Wochen zugreifbar gewesen. Eine Schwachstelle beim Server soll dabei der Grund gewesen sein. Unter den Daten befanden sich:
- Passwörter im Klartext
- IP-Adressen der User und dem jeweiligen VPN-Server, mit dem sie sich verbanden
- Session-Daten: Verbindungszeiten, Keys und Token
- Geo-Daten
- Geräte- und Betriebssystemdaten
- URL-Adressen, die wohl dazu genutzt werden, Werbung bei kostenlosen Accounts einzuspielen
Fatal sind vor allem die Passwörter, die als Klartext gespeichert sind. Aber auch die übrigen Daten sind als Ganzes sehr bedenklich. Mit ihnen könnten User persönlich identifiziert werden. Session-Daten könnten dazu genutzt werden, weitere Daten zu entschlüsseln, an die Hacker in evtl. anderen Angriffen gelangt sind.
E-Mail-Adressen, die indirekt ausgelesen werden könnten, könnten dazu genutzt werden, gezielte und individuell zugeschnittene Phishing- oder sogar Epressungsmails zu versenden.
Mit der Veröffentlichung dieses Befunds beabsichtigt, Comparitech Kunden von UFO VPN zu warnen sowie das Bewusstsein für Security- und Datenschutz-Probleme auch bei VPNs zu verbessern.
UFO VPNS Hauptverkaufsargument ist, in China und anderen asiatischen Ländern geblockte Websites zu entsperren. Auf der Website spricht das Unternehmen aus Hongkong jedoch durchaus auch ein englischsprachiges, internationales Publikum an.