Es gehört zu den zentralen Versprechen der meisten VPN-Anbieter: Selbstverständlich würde man den eigenen Dienst nie nutzen, um die Internetaktivitäten der eigenen Nutzer auszuspionieren. Zweifel an solchen Aussagen gab es schon immer, ein aktueller Vorfall gibt diesen Befürchtungen nun aber neue Nahrung.

Riesige Datenbank

Sicherheitsforscher haben 1,2 Terabyte an Nutzungsdaten von insgesamt sieben VPN-Anbietern frei zugänglich auf Servern der jeweiligen Anbieter gefunden. Darin enthalten ist mehr als eine Milliarde an Log-Einträgen mit allem, was man sich so an sensiblen Daten vorstellen kann: Passwörter im Klartext, echte IP-Adressen der Nutzer, Standortinformationen und Wohnadressen, Details zu den genutzten Devices und Softwareversionen – und natürlich ein Protokoll aller VPN-Server und zum Teil auch jener Webseiten, zu denen sich die Nutzer verbunden haben. Zum Teil sollen auch Informationen zu Bitcoin- und Paypal-Transfers gezielt gesammelt worden sein. Was diese Angelegenheit besonders pikant macht: Sämtliche dieser Anbieter versichern, keinerlei Logs über ihre Nutzer anzulegen.

Aufgedeckt wurde Vorfall von Bob Diachenko bei Comparitech, der vor einigen Tagen auf eine 894 GB große Datenbank an Daten über Nutzer von UFO VPN gestoßen ist. Diese war über eine ungeschützte Elasticsearch-Instanz für alle offen zugänglich und konnte bequem durchsucht werden. Wenige Tage später wurde dann dank einer Folgerecherche von VPNMentor klar, dass noch weitere sechs VPN-Anbieter von ähnlichen Problemen geplagt sind. Konkret geht es dabei um FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN. Was sie eint: Alle haben sie ihren Sitz in Hongkong, und hinter allen scheint der gleiche Besitzer zu stehen – die Firma Dreamfii HK Limited.

Reaktion

Bei UFO VPN hat man auf eine Warnung von Diachenko mittlerweile reagiert und zumindest den öffentlichen Zugriffe auf die Datenbank beendet. Gleichzeitig betont man, dass die gesammelten Logs nur aus "Performance-Analyse-Gründen" gesammelt werden. Auch erfolge die Speicherung anonymisiert. Dies widerspricht allerdings der Entdeckung der Sicherheitsforscher, die auch bei UFO eindeutig zuordenbare Daten wie IP-Adressen gefunden haben. Von den anderen Diensten, die zum Teil noch mehr Daten als UFO VPN gesammelt haben, gab es zunächst keinerlei Reaktion.

Comparitech und VPNMentor raten bestehenden Nutzern der erwähnten Dienste, zumindest so schnell wie möglich ihre Passwörter zu ändern und sich dann nach Alternativen umzusehen. Für Branchenbeobachter kommt der Vorfall nicht sonderlich überraschend. Viele VPN-Anbieter würden mit falschen Versprechen werben, betont etwa Kenneth White, Sicherheitsforscher bei MongoDB gegenüber The Register. Zum Teil würden hinter solchen Firmen auch kriminelle Organisationen stehen. Für die Nutzer sei es generell sehr schwer, im Wust der VPN-Anbieter eine vertrauenswürdige Lösung zu finden. (red, 20.7.2020)