1,2 Terabyte an privaten Benutzerdaten waren, bis vor kurzem, auf einem gemeinsam genutzten Server von 7 VPN-Anbietern frei zugänglich. Trotz der Behauptung, dass die Dienste gar keine Protokolle zu den Online-Aktivitäten ihrer Nutzer führen. Zu den Daten, die auf dem Server gefunden wurden, gehörten die personenbezogenen Daten (PII) von potenziell bis zu 20 Millionen VPN-Benutzern, sagten Forscher von vpnMentor, die das Leck aufgedeckt hatten.

Neben den persönlichen Daten, wie E-Mail- und Privatadressen der Benutzer, unverschlüsselten Passwörtern und IP-Adressen wurden auf dem Server auch mehrere Instanzen von Verbindungsprotokollen gespeichert. Das weckt starke Zweifel an den Behauptungen der Anbieter, dass sie keinerlei Protokolle des Userverhaltens speichern.

Die Anbieter UFO-VPN, FAST-VPN, FREE VPN, SUPER VPN, Flash VPN, SECURE VPN und Rabbit VPN sind in den Vorfall verwickelt. Der Bericht legt nahe, dass alle diese in Hongkong ansässigen Dienste mit einer White-Label-Lösung arbeiten. Das heißt, dass sie mit einer App eines Entwicklers arbeiten, die unter verschiedenen Namen und Marken von anderen Unternehmen verwendet wird. Diese Annahme basiert darauf, dass die Dienste denselben Elasticsearch-Server nutzen, auf denselben Assets gehostet werden und dass sie den gleichen Zahlungsempfänger für Zahlungen angeben.

Bei Tests zeigte wieviel protokolliert wurde

Die Sicherheitsforscher führten eine Reihe von Tests mit dem VPN-Dienst UFO VPN durch. Nach dem sie die mobile App heruntergeladen und installiert hatten, verbanden sie sich mit Servern auf der ganzen Welt. Wie sie herausfanden, wurden diese Aktivitäten in der offen zugänglichen Datenbank aufgezeichnet. Dazu gehörten ihre persönlichen Daten (E-Mail-Adresse, IP- Adresse, Geräteinfos und der Server, mit dem sie verbunden waren. Dies bestätigte den Verdacht. Zudem stellten sie auch fest, dass die Datenbank ihren Benutzernamen und ihr Kennwort protokollierte, welches zum Erstellen des Kontos verwendet wurde.

Die Datenbank enthielt sogar technische Daten über die Geräte, auf denen die Apps liefen: Die IP-Adressen der User, deren Internetprovider, den tatsächlichen Standort, das Gerätemodell, den Typ und die ID sowie Art der Netzwerkverbindung des Benutzers. „Der VPN-Server, mit denen eine Verbindung hergestellt wurde, wurden ebenfalls offengelegt, einschließlich seiner Region und IP-Adresse. Dies macht den betroffenen VPN-Dienst praktisch unbrauchbar, da die Ursprungs-IP-Adresse des Benutzers mit seiner Aktivität auf dem Zielserver verbunden werden kann “, erklärte vpnMentor.

Kurz gesagt, die trotz anders lautenden Aussagen von den VPN-Diensten gespeicherten Daten, können zu vielfältigen Problemen für die Nutzer führen. Die Hauptgründe für die Nutzung von VPNs sind schließlich zusätzliche Sicherheit und Privatsphäre, beispielsweise beim Zugriff auf Inhalte, die im eigenen Land illegal sind, um Standorteinschränkungen zu umgehen oder um sich als politischer Aktivist abzusichern. Je nachdem welcher böswillige Akteur die Daten in die Hände bekommt, könnten die VPN-Benutzer Opfer von Phishing-Kampagnen oder Online-Betrug werden, oder sogar erpresst, verhaftet und verfolgt werden.

Unter Einhaltung der Richtlinien zur verantwortlichen Offenlegung haben die Forscher die VPN-Anbieter am 5. Juli über die Sicherheitslücke informiert und am 8. Juli das Hong Kong Computer Emergency Response Team (HK CERT). Der Server wurde am 15. Juli geschlossen.

Aufgrund des Leaks und der Datenschutzproblematik sollten die Benutzer der sieben VPN-Anbieter unbedingt einen Wechsel zu einem anderen Dienst in Betracht ziehen. Falls sie die verwendeten Anmeldeinformationen auch in anderen Online-Konten verwendet haben, sollten sie diese unbedingt ändern. Trotz der dem erschreckenden Umgang der Anbieter mit der Sicherheit und Privatsphäre ihrer Nutzer, sollte man nicht auf die Nutzung eines VPNs verzichten. Dieser Bericht zeigt aber, dass man sich seinen VPN-Anbieter sorgfältig auswählen muss.