VPN-Provider UFO VPN leakt Daten von mehreren Millionen Nutzern
Daten von bis zu 20 Mio. Nutzern von UFO VPN und sechs weiteren, verwandten VPN-Services standen offen im Netz. Passwortänderungen sind dringend zu empfehlen.
(Bild: posteriori / Shutterstock.com)
Das Security Research Team des britischen Unternehmens Comparitech ist im Netz auf eine Datenbank gestoßen, die sensible Daten von mehreren Millionen "UFO VPN"-Nutzern enthielt. Die betreffende Elasticsearch-Datenbank sei ohne jegliche Authentifizierung zugänglich gewesen. Sie habe gleichermaßen Daten von Nutzern der Gratis- sowie der kostenpflichtigen Variante des in Hongkong ansässigen VPN Service enthalten.
Das Team von Comparitech hat UFO VPN nach eigenen Angaben am 1. Juli über das Datenleck informiert; allerdings habe es bis zum 15. Juli gedauert, bis die – offenbar durch UFO VPN aktiv genutzte und kontinuierlich wachsende – Datenbank nicht mehr offen zugänglich gewesen sei. Erstmals durch die Suchmaschine Shodan indexiert worden sei die Datenbank am 27. Juni.
Somit wären unbefugte Zugriffe fast drei Wochen lang möglich gewesen. Ob Cybergangster die Gelegenheit nutzten, ist nicht bekannt. Nutzer sollten aber in jedem Fall umgehend ihre Passwörter ändern und dabei vor allem daran denken, mehrfach genutzte Passwörter auch an anderer Stelle durch starke (und jeweils unterschiedliche!) neue Passwörter zu ersetzen.
[Update 20.07., 14:20:] Die Datenbank umfasste offenbar auch Log-Dateien von sechs weiteren, allerdings weniger verbreiteten VPN-Anbietern: FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN. Mehr dazu im letzten Abschnitt der Meldung.
Möglicherweise alle UFO VPN-Kunden betroffen
Den Analysen des Comparitech-Teams zufolge könnten potenziell alle Nutzer des VPN-Services betroffen sein: Die Datenbank habe täglich mehr als 20 Millionen aktuelle Log-Dateien geleakt. UFO VPN gibt seinerseits an, mehr als 20 Millionen Nutzer weltweit zu haben.
Comparitechs Blogeintrag zum UFO VPN-Leak nennt folgende, in den Log-Dateien sowie in (ebenfalls geleakten) API-Zugriffsprotokollen enthaltenen Informationen:
- Account-Passwörter im Klartext,
- IP-Adressen sowohl der Nutzer als auch der jeweils verwendeten VPN-Server,
- Daten zu den VPN-Sessions (Connection Timestamps, Keys und Tokens),
- Geo-Daten,
- Informationen zu verwendeten Geräten und Betriebssystemen sowie
- URLS von Domains, die offenbar kontaktiert werden, um Free-Usern Werbeanzeigen im Browser anzuzeigen.
"No-logs policy" sehr großzügig ausgelegt
Die geleakten Informationen lassen Rückschlüsse auf Standort und Systeme zu und können schlimmstenfalls auch verwendet werden, um heimlich mitgeschnittenen Traffic zu entschlüsseln. Zu den "Strict No-logs Policy"-Angaben auf der UFO VPN-Website, laut denen sich geloggte Informationen auf ein Minimum beschränken sollen und IP-Adressen der Nutzer grundsätzlich nicht aufgezeichnet würden, passt dies nicht.
(Bild: ufovpn.io)
Auch die Erklärung dazu, warum die Verantwortlichen nicht zeitnaher auf das Leak reagiert haben, klingt fadenscheinig: Gegenüber Comparitech äußerte ein Sprecher von UFO VPN, man habe wegen COVID-19-bedingten personellen Veränderungen über einen längeren Zeitraum keine Bugs in Server-Firewalllregeln, die wohl zu dem Leak führten, aufspüren können. Aber nun sei das Problem ja behoben.
Nutzer, die sich angesichts der Vorkommnisse in punkto VPN neu orientieren möchten, finden hier ein paar Tipps:
- Anonym surfen mit VPN: Die besten VPN-Anbieter im Vergleich
- Empfehlungen: Die NSA möchte, dass wir sicher im Homeoffice arbeiten
[Textergänzung 20.07.20, 14:10:]
Weitere VPN-Services betroffen
Das Team von VPNMentor stieß unabhängig vom Comparitech-Team ebenfalls auf die ungesicherte Elasticsearch-Datenbank. Aus einem Blogeintrag bei vpnmentor.com geht hervor, dass sich das Leak offenbar nicht nur aus Log-Dateien von UFO VPN, sondern auch noch aus Daten weiterer, allerdings deutlich weniger verbreiteter VPN-Dienste speist.
Die laut ihrer Websites ebenfalls in Hongkong ansässigen FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN stammen nach Einschätzung von VPNMentor allerdings alle vom selben Entwickler und Inhaber wie UFO VPN. Möglicherweise wurden hier zu Marketing-Zwecken auch einfach unterschiedliche Namen für ein (nahezu) identisches Produkt verwendet.
Da alle Log-Dateien in dieselbe Datenbank flossen, ist das Leak auch hier gefixt. Dennoch sollten selbstverständlich auch Nutzer dieser Services ihre Passwörter ändern und einen Umstieg erwägen.
[Textergänzung 24.07.20, 16:38:]
Datenbank bei "Meow"-Angriff gelöscht
Zwar schien es zunächst, als sei die UFO VPN-Datenbank abgesichert worden. Mittlerweile hat sich allerdings herausgestellt, dass der VPN-Anbieter bei der Absicherung erneut schlampte. Als eines der wohl ersten Angriffsziele fielen die Daten im nächsten Schritt offenbar dem neuen "Meow"-Angriff zum Opfer.
Mehr dazu erfahren Sie in einer aktuellen Meldung zum Thema:
(ovw)