Ein beliebter kostenloser VPN-Dienst hat vorgeworfen, über 360 Millionen Benutzerdatensätze online preisgegeben zu haben.
Der Verstoß gegen SuperVPN umfasst eine erstaunliche Menge sensibler Daten von Personen, darunter E-Mail-Adressen, ursprüngliche IP-Adresse, Geolokalisierungsdatensätze, eindeutige Benutzerkennungen, Verweise auf besuchte Websites und mehr.
Da der Dienst weltweit über 100 Millionen Downloads in den Google- und Apple-App-Stores zählt, glaubt der Experte, der den Vorfall untersucht hat, dass er den Nutzern „als Weckruf dienen“ sollte, sich stattdessen für einen vertrauenswürdigen VPN-Dienst zu entscheiden.
SuperVPN-Risiken
„Da sich immer mehr Menschen auf der Welt um den Datenschutz kümmern oder versuchen, die Zensur zu umgehen, nutzen sie häufig ein VPN. Dies ist ein Paradebeispiel dafür, welche Daten im Falle einer Datenschutzverletzung erfasst, an Regierungen weitergegeben oder offengelegt werden könnten“, Jeremiah Fowler, der Cybersicherheitsforscher, der entdeckt hat und über die verletzte Datenbank berichtetsagte TechRadar Pro.
Fowler entdeckte einen öffentlich entlarvten Fall Mit der SuperVPN-App verknüpfte Datenbank mit 133 GB Daten, einschließlich persönlicher Benutzerinformationen wie IP-Standort, verwendete Server und eindeutige App-Benutzer-ID-Nummern sowie Details zu Online-Aktivitäten des Benutzers, Gerätemodell, Betriebssystem und Rückerstattungsanträgen.
Nach Kontaktaufnahme mit den verfügbaren E-Mail-Adressen der iOS- und Android-VPN-App-Versionen wurde die Datenbank ohne Angabe von Gründen geschlossen.
Der Schritt ist besonders besorgniserregend, da die SuperVPN-App tatsächlich „noch letzte Woche, als Pakistan soziale Medien blockierte“, auf Twitter im Trend lag, sagte uns Fowler.
Ein weiterer Grund zur Sorge ergibt sich aus der Betrachtung der Eigentümerschaft hinter SuperVPN. In seinem Bericht für VPNMentor beobachtete Flower, dass die App in den beiden verschiedenen App-Stores unter verschiedenen Entwicklern aufgeführt wird, obwohl sie genau den gleichen Namen und zwei sehr ähnliche Logos hat.
Bei Google Play wird SuperVPN SuperSoft Tech zugeschrieben. Während SuperVPN für iOS, iPad und macOS angeblich von Qingdao Leyou Hudong Network Technology Co. entwickelt wurde. Unter den geleakten Dateien konnte Fowler sogar Hinweise auf ein anderes Unternehmen namens Changsha Leyou Baichuan Network Technology Co. finden.
„Alle scheinen Verbindungen zu China zu haben, und die Notizen in der Datenbank waren in chinesischer Sprache“, bestätigte er und argumentierte, dass alle Hinweise darauf hindeuten, dass Qingdao Leyou Hudong Network Technology Co. der Eigentümer der öffentlichen Datenbank ist, die die Benutzerdaten von SuperVPN offenlegt.
Keines der Unternehmen reagierte auf Anfragen nach Kommentaren und machte auf seinen Websites auch keine Angaben zu seinem Besitz und Standort – ein Schritt, der laut Fowler „Bedenken hinsichtlich der Transparenz und Sicherheit dieser kostenlosen VPN-Dienste“ aufkommen lässt.
Dies ist nicht das erste Mal, dass SuperVPN Cybersicherheitsexperten alarmiert. Im Jahr 2020 wurden Benutzer gewarnt, dieses VPN zu löschen, da es Millionen von VPN-Benutzern dem Risiko von Hackerangriffen aussetzte. Auch SuperVPN wurde 2016 als gefährlich eingestuft, als ein australischer Forscher es für schuldig befunden hatte, eine der am stärksten mit Malware manipulierten VPN-Apps überhaupt zu sein.
So vermeiden Sie unsichere VPNs
Leider gehört dieser Vorfall zu einer Reihe von Vorfällen, die die Risiken der Nutzung eines unsicheren VPN-Dienstes zum Schutz von Online-Daten verdeutlichen. Das ist besonders besorgniserregend, da die Zahl der Internetabschaltungen zunimmt und die Menschen daher dringend Sicherheits- und Umgehungstools mit einem sehr begrenzten Budget benötigen.
„Dieser Vorfall ist ein Weckruf für jeden, der ein VPN nutzt, um zu verstehen, warum die Wahl eines vertrauenswürdigen und seriösen Dienstes für Ihre Privatsphäre nicht nur für Ihre Internetaktivitäten wichtig ist“, sagte Fowler.
Fowler empfiehlt, auf diese Warnsignale zu achten, bevor Sie sich für einen VPN-Dienst anmelden:
- Unklare Formulierungen zu Datenerfassungspraktiken. Benutzer sollten immer darauf achten, sich für ein No-Log-VPN anzumelden, um sicherzustellen, dass der Anbieter ihre persönlichen Daten nicht sammeln und an Dritte verkaufen kann;
- Fehlender Abschnitt „Wer wir sind“ / „Über uns“ auf der offiziellen Website. Für Benutzer, insbesondere für diejenigen, die ihre Privatsphäre dringend schützen müssen, ist es von entscheidender Bedeutung, sicherstellen zu können, dass der von ihnen gewählte Dienst nicht mit Ländern verbunden ist, die für ihre Überwachungs- oder Zensuraktivitäten berüchtigt sind.
- Fehlende grundlegende Sicherheitsfunktionen. Fowler empfiehlt insbesondere, VPN-Dienste ohne DNS-Leak-Schutz oder Verschlüsselung zu meiden, die weder 128-Bit noch 256-Bit-AES sind;
- Schlechte Bewertungen. Benutzer sollten sich die Zeit nehmen, die Bewertungen anderer Kunden durchzublättern, bevor sie irgendeine Art von App herunterladen, insbesondere wenn es um einen Sicherheitsdienst geht. Es ist sehr wahrscheinlich, dass andere Benutzer die Schwachstellen bereits entdeckt haben.
Für diejenigen, die einen zuverlässigen kostenlosen Service suchen, ist PrivadoVPN derzeit unser Favorit. Andere Anbieter, darunter Surfshark, bieten Premium-Konten für NGOs, Aktivisten und Journalisten an, die unter eingeschränkter Internetfreiheit leben.
Es ist auch erwähnenswert, dass viele Premium-Dienste weit davon entfernt sind, als sicheres VPN beschrieben zu werden – SuperVPN eingeschlossen, da es tatsächlich auch kostenpflichtige Abonnements verkauft.
„Die Erzählung beschränkt sich nicht nur auf kostenloses VPN – es geht um Unternehmen, denen der Datenschutz egal ist“, sagte Sebastian Schaub, CEO von Hide.me VPN, gegenüber TechRadar Pro.
„Wenn Sie einen chinesischen Spieler haben, der keinerlei Vertrauenswürdigkeit aufweist, keine Unternehmensgeschichte hat, keine öffentliche Führung und verdächtig aussehende Apps hat, würde ich eine stärkere Kontrolle darüber fordern, wie er überhaupt am Markt teilnehmen kann. Apple und Google sollten die Offenlegung durchsetzen.“ welche Daten verarbeitet und gespeichert werden und informieren die Nutzer darüber.
„Ich würde sagen, die Aussichten sind ziemlich düster – das bösartige Verhalten geht weiter und man kann nicht viel dagegen tun, bis große Unternehmen die Sichtbarkeit zwielichtiger Apps einschränken.“