Vpn-dienst zette plaintext wachtwoorden in onbeveiligde Elasticsearch-database

De database van een vpn-dienst uit Hongkong is online aangetroffen. Daardoor waren gegevens van meer dan twintig miljoen gebruikers in te zien, waaronder plaintext wachtwoorden en sessietokens. De provider beweerde juist geen logs bij te houden.

De gegevens stonden op een onbeveiligde Elasticsearch-server. Die werd ontdekt door beveiligingsbedrijf Comparitech, dat erover publiceerde na het bedrijf te hebben ingelicht. Comparitech ontdekte de server eind juni via Shodan. Het gaat om een database van de vpn-dienst UFO uit Hongkong.

In de database stonden gegevens van meer dan twintig miljoen gebruikers. Het hele bestand had een grootte van 894 gigabyte. Opvallend is dat naast de e-mailadressen de wachtwoorden van gebruikers in plaintext te lezen waren. Daarnaast waren sessie-secrets en -tokens te zien, ip-adressen van gebruikers en de vpn-servers waarmee die verbonden, verbinding-timestamps, geotags en informatie over de toestellen en besturingssystemen van gebruikers. Het lijkt er niet op dat er ook logs zijn bijgehouden van surfgedrag, al was die informatie mogelijk met terugwerkende kracht te achterhalen via de secrets en tokens.

UFO VPN zegt dat de informatie op de server 'anoniem is', en 'alleen wordt gebruikt om de netwerkstatus en eventuele problemen van gebruikers te analyseren'. Er zijn geen aanwijzingen dat de informatie door anderen is misbruikt. Inmiddels heeft UFO VPN de database beschermd met een wachtwoord. De vpn-dienst zegt op zijn website dat het twintig miljoen klanten heeft - mogelijk is dus iedere klant van het bedrijf getroffen.

Reacties (114)

Munchie 17 juli 2020 18:29

UFO VPN is eigendom van Dreamfii HK Limited:
The UFO VPN and its Service is owned by Dreamfii HK Limited. https://ufovpn.io/terms

Als ik dit bericht op Reddit mag geloven is Dreamfii Limited onderdeel van Lippo Limited.
http://www.lippoltd.com.hk/index_en.htm

Dit is weer in eigendom van de Riady familie.
Wikipedia: Lippo Limited

In hoeverre deze familie weer invloed uitoefent op de Chinese markt en politiek (zoals het Reddit bericht impliceert), weet ik niet. Maar de oprichter Mochtar Riady en zijn zoon James Riady, hebben kennelijk wel banden (gehad?), met de Chinese inlichtingendienst:
Mochtar Riady and his son, James, [...] "have had a long-term relationship with a Chinese intelligence agency
https://www.washingtonpos...campfin/players/riady.htm

Edit:
En hier nog wat aanvullende informatie, het zou niet alleen UFO VPN betreffen, maar ook FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN en Rabbit VPN. Die onder dezelfde ElasticSearch server vallen.
https://www.vpnmentor.com/blog/report-free-vpns-leak/

[Reactie gewijzigd door Munchie op 23 juli 2024 01:26]

michielRB @Munchie • 17 juli 2020 18:51

Laten we dan eens een alu hoedje opzetten (er op los speculeren):
UFO is een HK/CN bedrijf. Die mochten alleen hun dienst aanbieden als ze een doorzoekbare database van alle klanten met hun metadata beschikbaar stelden aan de CN overheidsdiensten.... klinkt niet eens heel erg onwaarschijnlijk.

[Reactie gewijzigd door michielRB op 23 juli 2024 01:26]

Elefant @Munchie • 17 juli 2020 19:37

Dit is weer in eigendom van de Riady familie.
Wikipedia: Lippo Limited

In hoeverre deze familie weer invloed uitoefent op de Chinese markt en politiek (zoals het Reddit bericht impliceert), weet ik niet. Maar de oprichter Mochtar Riady en zijn zoon James Riady, hebben kennelijk wel banden (gehad?), met de Chinese inlichtingendienst:
Mochtar Riady and his son, James, [...] "have had a long-term relationship with a Chinese intelligence agency
https://www.washingtonpos...campfin/players/riady.htm

Dan moet je ook de rest geven:

But the report failed to back up the charge with specifics, and James Riady later denied that he or his company have any such ties.

The Riadys' links to Bill Clinton date back to Little Rock. In 1984, the Riady family bought a bank with Arkansas financier Jack Stephens. James, one of Mochtar's three sons, was dispatched to Little Rock to help run the operation, and reportedly first met Bill Clinton at one of Stephens's weekly lunches.

James Riady made about 20 visits to the White House after Clinton was elected in 1992. He met privately with the president three times. During one of those visits, former Lippo executive John Huang asked for Clinton's approval to move from the Commerce Department to the Democratic National Committee. On another visit, Riady urged Clinton to push trade with China

Ofwel het is nog veel erger.

De president van de Verenigde staten was verbonden met de Chinese inlichtingendienst, Hun contactpersoon was James Riady.

[Reactie gewijzigd door Elefant op 23 juli 2024 01:26]

DigitalExorcist 17 juli 2020 17:25

Het lullige hieraan is dat dat zo’n VPN provider is die keihard beweert nooit logs van wat dan ook op te slaan.

Uit hun privacy policy:

What types of information do we collect?
UFO VPN does not collect, monitor, or log any traffic or use of its Virtual Private Network service, under any circumstances, on any platform. While you are not required to provide any identifiable ("personal") information to browse our Site, in order to subscribe to our Services, you must first create an account and register with us. This is solely to maintain an active subscription to our service.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 01:26]

WhatsappHack

Vpn
Datalek
Beveiliging en antivirus

@DigitalExorcist • 17 juli 2020 23:04

Dat beweren er zoveel, maar controleerbaar is ‘t zelden en vaak blijken ze toch niet zo betrouwbaar als ze beweren. Daarom snap ik ook echt niet dat tig mensen soms zelfs 24/7 hun traffic door en of andere third-party VPN duwen... Voor torrents ofzo en op publieke wifi-netwerken oid: okee, kan ik snappen. (Alleen kan je voor die tweede beter thuis een VPN opzetten als je upload snelheid dat toelaat

) Maar alle verkeer en de godganse dag? Nee! Zeker in NL ben je dan veiliger met je eigen provider. Of huur ergens een vps/servertje en zet je eigen VPN met eigen DNS en zonder logging op...

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 01:26]

MGutker @WhatsappHack • 18 juli 2020 09:22

Vps op valse naam betaald met prepaid kaarten = prima vpn

FreshMaker

@MGutker • 18 juli 2020 10:20

Vps op valse naam betaald met prepaid kaarten = prima vpn

Het ligt er helemaal aan wat je precies wilt bereiken.
Er is een verklaring voor allerlei verschillende usecase's
Maar voor mijn torrents zou ik niet vertrouwen op jouw actie, omdat je nog steeds één user zal zijn.
Nu zal zo'n onderzoek echt niet om de torrentdownlaods zover gaan om die éne gebruiker aan te pakken.

Maar als je die VPN gebruikt om terroristische motivatie ( en voor China zijn de protesten terrorisme-niveau ) dan lijkt het me niet de beste oplossing, en kan je beter via meerdere lagen een externe VPN aanbieder nemen.

Voor 'privacy' kan je beter je eigen server hosten, en die voor publieke wifi aanroepen.
Jouw thuis verbinding is meer gecontroleerd ( door jezelf ) dan die van zo'n budget-provider, die voor 5€ per maand jouw privacy beschermd

Ik geloof er niet in, je bent bij een externe aanbieder een product, één van duizenden, maar niet de belangrijkste
Jouw 5€ staat echt niet in verhouding tot overheidsbudgetten of rechtszaken die een veelvoud opleveren/kosten.
Jouw bomdreiging naar potus wordt er feilloos uitgepikt en doorgespeeld aan meneer FBI,CIA of Europol.

MGutker @FreshMaker • 18 juli 2020 10:25

Ik was niet van plan om bomdreigingen te maken vanaf deze constructie nee.

Gaat meer om torrents en publieke wifi.
Vpn in deze context = verbinding beveiligen, niet anoniem zijn.

FreshMaker

@MGutker • 18 juli 2020 10:28

Ik was niet van plan om bomdrijgingen te maken vanaf deze constructie nee.

Gaat meer om torrents en publieke wifi.
Vpn in deze context = verbinding beveiligen, niet anoniem zijn.

bomdreigingen was om aan te geven in welke mate je kan escaleren.
Om de hele keten uit te voeren om met een anonieme CC een VPS op te starten, is het downloaden van torrents niet waard.
Neem dan á 5€/m een seedbox, heb je ook geen omkijken naar, en zit in dezelfde hoek als een budget vpn aanbieder

Rembert @MGutker • 18 juli 2020 10:31

Bij bv mullvad hoef je geen naam op te geven: je logincode werkt zolang er geld binnenkomt via whatever weg - bitcoin kan, maar een envelop met cash geld en de logincode ook. Veel anoniemer lukt niet. Wachtwoorden doen ze trouwens niet aan.
Of ze loggen? Ze zeggen van niet maar ik doe zelf geen dingen waarvoor ik van mijn bed gelicht zal worden.

t link @MGutker • 18 juli 2020 11:31

onzin. je verkeer is dan makkelijk naar die VPS te herleiden. en met een simpele fingerprinting weten ze ook meteen dat het verkeer van jou afkomt omdat het als enige naar die VPS gaat. juist voor anonimiteit is het heel belangrijk een grote hoeveelheid verkeer van andere gebruikers te hebben. hoe meer hooi de hooiberg heeft, hoe moeilijker die naald te vinden is. als je hooiberg letterlijk niet bestaad maar er alleen een naald ligt ben je zo te identificeren. fingerprinting is ook precies wat ze gebruiken om TOR te deannonimizeren.

[Reactie gewijzigd door t link op 23 juli 2024 01:26]

MGutker @t link • 18 juli 2020 15:24

Nogmaals, als je doorleest zie je waar ik mn vpn voor gebruik. Ik heb nooit gezegd dat ik hem gebruik voor anonimiteit.

tweaknico @MGutker • 19 juli 2020 21:36

Doe je het management via TOR?
Hoe goed is je OP-SEC?

MGutker @tweaknico • 20 juli 2020 12:10

Deze constructie is niet voor anonnimiteit, deze constructie is voor beveiliging.
De reden waarom je deze zou kunnnen betalen met prepaid kaarten is voor bijvoorbeeld dmca/torrents.

Hangt af van het land waar je je vps neemt, en wat je wilt kunnen doen met de vpn.

tweaknico @MGutker • 20 juli 2020 13:45

Als je probeert geen sporen na te laten door een VPS "anoniem" te gebruiken, dan zul je ook je bezoeken aldaar moeten beschermen, niet traceerbaar maken.

MGutker @tweaknico • 20 juli 2020 14:11

Deze constructie is voor beveiliging/privacy. Niet voor anonimiteit.

DigitalExorcist @WhatsappHack • 18 juli 2020 07:48

Precies. Het is gewoon een kwestie van tijd voordat andere populaire diensten keihard door de mand vallen.

0xygen500 @DigitalExorcist • 17 juli 2020 17:35

Dat is niet lullig, lullig is dat de gegevens van mensen gelekt zijn. Het is ronduit slecht dat ze wachtwoorden plaintext opslaan. Misschien is het zelfs erger dat de emailadressen gelekt zijn van honkongnezen.

tweaknico @0xygen500 • 17 juli 2020 17:51

Gebruikers hoeven niet alleen uit hongkong te komen.

0xygen500 @tweaknico • 17 juli 2020 18:10

Daar heb je gelijk in. Alleen is het voor een persoon uit hongkong wel wat erger dan een Nederlander. Vooral als je nu protesteert in Hong Kong.

tweaknico @0xygen500 • 17 juli 2020 18:13

zeker.

Anoniem: 217535 @tweaknico • 17 juli 2020 19:45

7,5 miljoen Hongkongers, 20 miljoen passwords... Ik denk dat je gelijk hebt...

DigitalExorcist @0xygen500 • 17 juli 2020 20:24

Mja het lullige is vooral dat dit de eerste is die door de mand valt. NordVPN had ook al wat meen ik te herinneren.. en zo hebben al die diensten waarschijnlijk wel wat.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 01:26]

DigitalExorcist @Anoniem: 851517 • 18 juli 2020 07:47

Wie is de submitter van dit hele artikel?

Met je onzin.

Maar goed, omdat je zelf niet in staat bent om iets simpels terug te zoeken zal ik het wel doen voor je: nieuws: Hackers hadden toegang tot Finse server van NordVPN

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 01:26]

Anoniem: 979365 @DigitalExorcist • 20 juli 2020 13:54

mooi verhaal van een jaar geleden....

DigitalExorcist @Anoniem: 979365 • 20 juli 2020 14:34

En het is nu beter op wélk front precies?

Oh wacht, omdat er een jaar geleden een hack is geweest komt het nooit meer voor natuurlijk.

Anoniem: 979365 @DigitalExorcist • 20 juli 2020 14:56

jij brengt het eerder zo....dat, omdat er ooit eens een hack is geweest, dat het nu nog steeds onveilig is.
Zo kan ik ook alle kanten blijven verdraaien.

op dit moment , sinds die laatste hack, is er bij NordVPN niets geks gebeurd. Daar kunnen andere vpn providers denk nog wat van leren.

DigitalExorcist @Anoniem: 979365 • 20 juli 2020 15:00

Nog niks geks gevónden. Na de vorige hack heeft het ook een jaar geduurd...

Argantonis 17 juli 2020 17:27

Dat ze geen logs bijhouden was dus een glasharde leugen. Weglopen bij zo'n dienst. Lijkt me dat er genoeg Chinezen gebruik van maakten die dit absoluut niet konden gebruiken.

frickY @Argantonis • 17 juli 2020 17:39

Hoezo? Er zijn toch geen logs gevonden?
Wel account gegevens, maar het is logisch dat ze die opslaan anders is het lastig inloggen.

Mozart

@frickY • 17 juli 2020 17:45

Er staat het volgende in de tekst:
Daarnaast waren sessie-secrets en -tokens te zien, ip-adressen van gebruikers en de vpn-servers waarmee die verbonden, verbinding-timestamps, geotags en informatie over de toestellen en besturingssystemen van gebruikers

Daarnaast staat de informatie in een elastisearch omgeving, die gebruik je niet om een gebruiker te laten inloggen maar om snel te kunnen zoeken in grote bestanden.

tweaknico @Mozart • 17 juli 2020 17:54

Dus er is een deel gelogged, maar niet alle data die gepasseerd is. (bv. alle URL's die ingetikt zijn etc.
IP adressen waarmee contact is gezocht... het scheelt toch iets).

Anoniem: 111703 @tweaknico • 17 juli 2020 19:25

bv. alle URL's die ingetikt zijn etc

Als er sprake is van HTTP verkeer over TLS (met veilige certificaten uiteraard), is alles wat zich in Layer 7 afspeelt versleuteld en dus onleesbaar. Een VPN provider (of welke provider dan ook) kan ten hoogste vaststellen wat voor hostname er wordt opgevraagd tijdens de TLS handshake, maar meer dan dat ook niet. Meer informatie daarover hier.

DigitalExorcist @Anoniem: 111703 • 18 juli 2020 07:51

HTTP over TLS is automatisch HTTPS toch. En DNS requests zijn niet per definitie encrypted maar “gewoon” uit te lezen. Als je een URL intikt ga je eerst naar de DNS toe en dat is inzichtelijk. Wat er op die webpagina staat is niet van belang; die is openbaar en sowieso voor iedereen in te zien.

Het encryptieverhaal is pas van toepassing als je zelf data naar zo’n website stuurt, bijvoorbeeld logins of Posts die je op een forum doet..

MGutker @DigitalExorcist • 18 juli 2020 09:36

DNS is totaal iets anders dan HTTP over TLS, je kan uit een HTTP request via TLS alleen tijdens het maken van de handshake met de webserver uitvinden om welke hostname het gaat, na de handshake is alles versleuteld, dus ook de URL van de opgevraagde pagina.

De DNS query wordt door je apparaat uitgevoerd voordat je browser een HTTP request stuurt, daarmee achterhaalt je apparaat in eerste instantie naar welk ip adres het HTTP request gestuurd moet worden. Dit heeft niks met een URL (of zelfs je browser) te maken, tenzei je DNS over HTTPS gebruikt.

Wat je zegt over pagina's die toch al publiek zijn klopt niet, sommige websites hebben daadwerkelijk gevoelige informatie die ze laten zijn aan bijvoorbeeld ingelogde gebruikers. Denk aan google docs, dat loopt allemaal via HTTP over TLS, als dat niet zo was kon de hele wereld meelezen wat jij allemaal voor documenten opent in je google drive.

HTTP over TLS is zeker een stuk belangrijker dan alleen wanneer 'je data naar zo'n website stuurt' en is actief bij alles wat je doet op een website die bekijkt via HTTPS en niet alleen tijdens het posten van data.

tweaknico @Anoniem: 111703 • 19 juli 2020 21:39

Gewoon de SNI headers loggen. dan heb je minimaal de hostnames.
En het IP adres heb je ook.

loki504 @tweaknico • 17 juli 2020 18:15

Dan moet je niet zeggen dat je niets logt. Als je toch iets logt.

tweaknico @loki504 • 20 juli 2020 13:42

Oh eens...
de beschrijving moet bij de dienst passen en omgekeerd.

frickY @Mozart • 18 juli 2020 09:38

Misschien hebben we niet dezelfde definitie van "logs".
Voor mij valt dit onder reguliere data die ik zou verwachten bij een dergelijke dienst.

De geotags zou je nog bedenkingen bij kunnen hebben, maar die gebruiken ze wellicht voor het selecteren van de dichtstbijzijnde gateway.

DigitalExorcist @frickY • 18 juli 2020 09:42

Een “log” is een vastgelegd document met zaken die zich in het verleden afgespeeld hebben. Zoals logins, session tokens et cetera.

frickY @DigitalExorcist • 18 juli 2020 09:49

De crux zit hem in het doel van opslaan.
Logs sla je op om later terug te kunnen zien wat er wanneer is gebeurd.

Deze gegevens (usernames, sessietokens) lijkt mij te zijn opgeslagen om de VPN dienst te kunnen leveren. Dat maakt het voor mij data, en geen logs.
Ik reageerde op de bewering dat ze zouden liegen over het niet opslaan van logs.

DigitalExorcist @frickY • 18 juli 2020 13:50

Is je sessie afgelopen? rm -rf /var/log/-<userid>

Dán sla je niks op.

YGDRASSIL

@frickY • 18 juli 2020 15:22

ElasticSeatch gebruik je niet voor je produktiesysteem om logindata te bewaren als een klant wil inloggen. Dat is vrijwel per definitie data die geanalyseerd wordt voor whatever doelen. Dus gelogde data.

frickY @Mozart • 18 juli 2020 09:51

Dat deze data (ook) in een Elastic omgeving stond wil niet zeggen dat de data niet gebruikt wordt voor een of ander operationeel doel. Dat zal inderdaad waarschijnlijk niet voor het inloggen zelf zijn, maar bijvoorbeeld wel voor de facturatie of monitoring.

sampoo @frickY • 17 juli 2020 18:10

Dat er geen logs over het surfgedrag gevonden zijn zegt nog niet dat ze niet bestaan. Een database is ontdekt die niet zou bestaan volgens hun voorwaarden, goede kans dat er meer achter wordt gehouden.

Freekers @Argantonis • 17 juli 2020 17:28

En dat is het probleem met al die VPN diensten. Als buitenstaander/gebruiker kun je deze claim nooit controleren en moet je ze maar geloven op hun blauwe ogen. Mij niet gezien

Argantonis @Freekers • 17 juli 2020 17:33

En dat is het probleem met al die VPN diensten. Als buitenstaander/gebruiker kun je deze claim nooit controleren en moet je ze maar geloven op hun blauwe ogen. Mij niet gezien

Tja het enige alternatief is dan eigenlijk Tor. Ik gebruik NordVPN en die lijken wel betrouwbaar maarja je kan idd nooit garanderen dat zij niet hetzelfde doen.

EmptyVase @Argantonis • 17 juli 2020 17:39

NordVPN was vorig jaar wel gehackt, en met hun enorme advertentie campaign vind ik het niet een bepaald geloofwaardig bedrijf. Ook hun snelheid valt tegen.
1 van de enigste VPN dienste die ik zou vertrouwen is Mullvad VPN, ook kwa snelheid is het goed.

NumesSanguis @EmptyVase • 17 juli 2020 18:33

ProtonVPN is open source en heeft een audit doorstaan van Mozilla.

The Zep Man

Beveiliging en antivirus
Datalek
Vpn

@NumesSanguis • 17 juli 2020 18:36

ProtonVPN is open source en heeft een audit doorstaan van Mozilla.

Ik kan gerust een commerciële VPN dienst opzetten gebaseerd op OpenVPN of WireGuard. Open source is zo te bewijzen: je haalt de clients maar lekker op van de originele projectsites. Dat houdt niet in dat er niet gelogd wordt.

Sowieso is het wiel opnieuw uitvinden dom. Ik zou nooit de VPN client van een VPN provider gebruiken. Naast controle over de verbinding geef je ze ook potentieel toegang tot je apparatuur, want hun code draait wel op jouw computer. Nee, dank je.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 01:26]

NumesSanguis @The Zep Man • 17 juli 2020 18:49

De code die client-side draait is open source, dat betekent dat je precies kan zien wat er van je apparatuur wordt gevraagd door de code en wat voor data er gestuurd wordt en hoe het encrypt wordt. Dus het is precies hetzelfde als OpenVPN gebruiken op je computer.

Het no-log gedeelte zit inderdaad nog een vertrouwen aspect bij, maar aangezien ik Mozilla als betrouwbaar zie, zie ik dat positief in. In ieder geval meer vertrouwen dan zelf een server helemaal dicht timmeren.

GrooV @NumesSanguis • 17 juli 2020 23:08

Niet als je de eigen cliënt gebruikt

Anoniem: 979365 @NumesSanguis • 20 juli 2020 13:58

deze stond volgens mij bekend om DNS Leakage.....

voor zover mijn kennis gaat.....zijn alleen NordVPN en VPNExpress te vertrouwen...
Alle andere providers heel ver vandaan blijven.

NumesSanguis @Anoniem: 979365 • 20 juli 2020 16:05

Prima dat jij een fijn gevoel hebt bij NordVPN / VPNExpress, maar als je gaat napraten wat je ooit gehoord denkt te hebben, verspreid je FUD.

Als ze inderdaad ooit DNS lekten, dan kan je daar een bron voor linken.

Anoniem: 217535 @EmptyVase • 17 juli 2020 19:56

Ik zit al jaren bij Private Internet Service (PIA). Ze zitten in the VS en zeggen dat ze geen logs bewaren. Stel dat niet het geval is zullen ze serieus hard worden aangeklaagd. Het is een hele grote provider. Desalnietemin moet je er nooit van uitgaan dat je 100% private bent. Misschien een 2e VPN. VPN over een VPN? Zou een mooi draadje zijn. Hoe ultiem anoniem het Internet op te gaan...

Jeroenneman @Anoniem: 217535 • 17 juli 2020 22:27

Een bedrijf uit de VS zou ik sowieso al niet vertrouwen qua VPN. Alles daar valt gewoon onder de Amerikaanse wetgeving, en dat betekent dat die gegevens bekend zijn bij de relevante diensten in de VS.

Baardmeester @Jeroenneman • 17 juli 2020 23:34

PIA is ooit gedagvaard door de FBI en kon toen de informatie niet leveren, omdat ze geen logs bijhouden. Maar dat is al weer een aantal jaar geleden en het moederbedrijf is inmiddels overgenomen. Dus dat geeft natuurlijk geen garantie en dat ze nu wel gegevens bijhouden.

Anoniem: 217535 @Baardmeester • 18 juli 2020 12:14

Wanneer je geen logs bij houdt kun je ze ook niet afstaan...

Anoniem: 217535 @Jeroenneman • 18 juli 2020 11:35

De VS is nog steeds een democratie. Rechters die de wet toetsen. Advocaten die je bij kunnen staan. Ze hebben persvrijheid. Wat er verder in de schaduwen gebeurt heb ik geen zicht op. Ik ben geen fan van de aanklaag-cultuur van de VS. Maar in dit geval kun je het omdraaien naar je voordeel.

Immutable @Anoniem: 217535 • 18 juli 2020 17:54

Democratie van de VS stelt niet veel voor, en daarnaast die persvrijheid... waarom staan ze dan zo laag op de press freedom index? https://rsf.org/en/ranking

Je begrijpt wel dat Amerikanen een lagere standaard van "vrijheid" kennen dan wij hebben.
Ik denk dat onze privacy in de EU veel meer respect krijgt dan de burgers in de VS.

Ben daar wel dankbaar voor.

[Reactie gewijzigd door Immutable op 23 juli 2024 01:26]

Anoniem: 217535 @Immutable • 19 juli 2020 15:06

Ik dank 2x per dag in mijn gebed dat ik in Nederland ben geboren als van de dingen waar ik dankbaar voor ben. En blij te horen dat jij dat jij je daar ook van bewust bent. Ik denk dat dat wij het het goed voor elkaar hebben.

In de VS heb ik gezien hoe rechters beleid van Trump durfden te toetsen aan de wet en zijn besluiten durfden terug te draaien. Dat is onafhankelijke rechtstaat aan het werk. De pers kan elk verhaal brengen dat ze willen. De vrijheids van meningsuiting gaat veel verder dan in NL.
Ander voorbeeld: In de VS mag je weigeren om te praten met de politie en je mag weigeren je te identificeren wanneer de politie geen verdenking van een misdaad heeft. Dat mag in NL niet. Je moet je hier kunnen identificeren. Bij weigering in NL krijg je een boete.

Het is veel te gemakkelijk om een gepolariseerd land als de VS te vergelijken met NL (= mega pragmatisch).

Waar ik op 'vertrouw' is dat een bedrijf in de VS zijn zaakjes goed voor elkaar moet hebben om je anders de grond in wordt ge-sued...

_Pussycat_ @Anoniem: 217535 • 20 juli 2020 01:47

Roger stone kreeg een lagere straf door directe inmenging van de president en werd achteraf nog door hem begnadigd. Dat is geen onafhankelijke rechtsstaat.

Niet alles is verschrikkelijk daar maar compleet onafhankelijk lijkt de rechtspraak niet meer te zijn. Het concept van een presidential pardon is voor mij sowieso te gek voor woorden.

Anoniem: 217535 @_Pussycat_ • 20 juli 2020 08:56

Roger stone kreeg een lagere straf door directe inmenging van de president en werd achteraf nog door hem begnadigd. Dat is geen onafhankelijke rechtsstaat.

Niet alles is verschrikkelijk daar maar compleet onafhankelijk lijkt de rechtspraak niet meer te zijn. Het concept van een presidential pardon is voor mij sowieso te gek voor woorden.

Ieder land maakt zijn eigen regels. In een democratie kun je die regels aanpassen. Wil het volk dit gewijzigd zien is die optie aanwezig. Een rechter toetst de wet en de de wet in de VS heeft nu eenmaal een presidential pardon. Dat houdt niet in dat deze mensen niet kunnen worden vervolgd via individuele rechtszaken.

Vergist je niet hoeveel landen bepaalde Nederlandse wetten niet kunnen begrijpen. Ik noem 'abortus' en 'euthanasie'. Dit ga je in heel veel landen niet even uitleggen.

_Pussycat_ @Anoniem: 217535 • 20 juli 2020 12:58

Het pardon is als wet inderdaad aanwezig, ook al vind ik die fout.

Mijn probleem is meer bij de inmenging en het reduceren van de strafmaat, wat volgens scheiding uitvoerende / rechterlijke echt niet kan. Inhoudelijk beoordeel ik de wetten niet.

[Reactie gewijzigd door _Pussycat_ op 23 juli 2024 01:26]

Anoniem: 979365 @Anoniem: 217535 • 20 juli 2020 14:00

graag je geloofs-handelingen achterwege laten. Dat heeft niets met het verhaal te maken.
Voor geloven en het uitspreken daarin zijn andere fora's!

Anoniem: 217535 @Anoniem: 979365 • 20 juli 2020 16:11

Het enige in dit draadje wat totaal off-topic is, is deze reactie... Gelukkig ben ik vergevingsgezind...

Anoniem: 979365 @Anoniem: 217535 • 21 juli 2020 09:27

ik niet, dus gewoon lekker ophouden met uitingen plaatsen over geloof.

Anoniem: 217535 @Anoniem: 979365 • 21 juli 2020 17:42

Ik zou kunnen zeggen dat ik voor je zal bidden voor wat meer tolerantie. En voor wat meer liefde in je hart voor anderen en als andere wat doen wat je niet fijn vindt om dit door de vingers te zien. Maar dat doe ik niet. Want ik zou dan liegen en dat druist in tegen mijn Christelijke waarden. ;-)
Maar ik vermoed dat je wel wat Jezus kunt gebruiken..

De dag dat ik mij de mond laat snoeren, is de dag dat Pasen en Pinksteren op 1 dag valt... Hahahaha

tweaknico @EmptyVase • 17 juli 2020 17:53

vertrouwen omdat ze nog niet in het nieuws zijn geweest, of heb je er een audit kunnen doen.

honey @EmptyVase • 17 juli 2020 18:43

Met mijn 200/200 verbinding haal ik de volle snelheid, dus zo traag vind ik het niet.
En, ik heb nog niks gezien om ze te wantrouwen.

MullVad is beter omdat?

FreshMaker

@EmptyVase • 18 juli 2020 10:33

Mullvad, Proton en AIRvpn zijn de meest secure vpn aanbieders.
Geen acties, geen stunts, geen extreme prijsdalingen om klanten te lokken, en prima servicedesk bij problemen.

Windscribe is een prima runnerup, zeker met hun ongelimiteerde simultane verbindingen ( de rest is 1 / 5 )

Maar NORDvpn, en PIA hebben zich te commercieel opgedrongen, PIA is door een advertentieboer overgenomen, nee .. dat is betrouwbaar

Anoniem: 979365 @FreshMaker • 20 juli 2020 14:01

waarom komen deze namen dan nergens voor in een vpn test?
En als ze al voorkomen, waarom dan niet in een top10?

FreshMaker

@Anoniem: 979365 • 20 juli 2020 14:27

waarom komen deze namen dan nergens voor in een vpn test?
En als ze al voorkomen, waarom dan niet in een top10?

Omdat ze niet betalen voor die tests.
Of denk je dat al die vpn top 10's zomaar en accuraat zijn ?

Ik heb dan liever een aanbieder die onder de radar blijft, dan een top 10 kandidaat uit een referraltrap

Anoniem: 979365 @FreshMaker • 20 juli 2020 14:51

persoonlijk is mijn ervaring en advies naar anderen altijd zo geweest:

Nordvpn of vpnexpress.....alle andere opties hebben DNS leakage.
NordVPN zit op panama zonder internetwetgeving, daar zit je dus nog het meest veilig.

alle andere providers zitten sowieso in een land waar internetwetten wel bestaan. Dan houdt het daar toch al op in keuze voor alle andere vpn partijen.

FreshMaker

@Anoniem: 979365 • 21 juli 2020 10:21

Misschien kan je dan wel Wired aannemen
https://www.wired.co.uk/article/best-vpn

StefanTs @Argantonis • 18 juli 2020 00:23

Tor is geen alternatief. Ze sluiten elkaar immers niet uit. Tor kan gewoon over je VPN heen.

DigitalExorcist @Argantonis • 18 juli 2020 07:52

TOR is ook maar deels veilig. Als je ziet hoeveel illegale diensten opgerold worden omdat justitie de exitnodes kan monitoren of overnemen...

MainframeX @DigitalExorcist • 19 juli 2020 10:06

Tor is wel veilig hoor. Men denkt alleen dat ze zomaar al hun verkeer door tor heen kunnen duwen en dan nog anoniem kunnen blijven.

AmigaWolf @Argantonis • 17 juli 2020 17:31

Dat ze geen logs bijhouden was dus een glasharde leugen. Weglopen bij zo'n dienst. Lijkt me dat er genoeg Chinezen gebruik van maakten die dit absoluut niet konden gebruiken.

En het mooie is ook dat ze gestraft woorden, aangezien door deze nieuws VEEL klanten bij hun nu weg gaan, en ze nu heel veel klanten mislopen, daarom is nieuws als dit heel belangrijk.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 01:26]

Blokker_1999

Datalek
Beveiliging en antivirus

@AmigaWolf • 17 juli 2020 18:02

Dit nieuws en de bijhorende discussies komen niet verder dan techsites zoals Tweakers. De gemiddelde gebruik is geen tech savvy persoon. Die zal zich amper bewust zijn van wat hier gebeurd is.

AmigaWolf @Blokker_1999 • 17 juli 2020 18:33

Dit nieuws en de bijhorende discussies komen niet verder dan techsites zoals Tweakers. De gemiddelde gebruik is geen tech savvy persoon. Die zal zich amper bewust zijn van wat hier gebeurd is.

Mensen die aan hun privacy denken en VPN gebruiken kijken juist vaak naar zulke nieuws als dit, lijkt me ook logies als je VPN gebruikt, maar natuurlijk zullen er altijd veel mensen zijn die dat jammer genoeg niet doen.

aequitas

17 juli 2020 17:33

Zijn al die grote VPN aanbieders op dit moment niet allemaal van die leugenaars wat betreft gegevens die ze opslaan? Volgens mij zijn het gewoon bedrijven die in willen springen op de trends van privacy, security en Netflix kijken in een ander land. Terwijl je in feite gewoon alleen maar de tracking mogelijkheden bij de internet provider weghaalt en die bij de VPN provider neerlegt. Er is geen praktische mogelijkheid voor de VPN provider om te bewijzen dat ze geen gegevens van je bewaren (of delen met wie dan ook). En dat is ook heel moeilijk uit te voeren op grote schaal omdat ze altijd gegevens in hun systeem moeten hebben om gebruikers te authenticeren, betalingen af te handelen, problemen te debuggen, misbruik/hacking te detecteren, etc.

marteltor @aequitas • 17 juli 2020 17:38

Hoezo zouden ze dat niet kunnen bewijzen?
Huur een Deloitte/KPMG /etc in voor een IT audit en voilá. Niet 100% zeker maar wel bijna.

NielsFL @marteltor • 17 juli 2020 18:06

En na de audit zet je je logging level weer wat hoger.

GrooV @NielsFL • 17 juli 2020 23:09

Dat heet fraude

DigitalExorcist @GrooV • 19 juli 2020 10:16

Nee dat is dan “voortschrijdend inzicht”. Of “we houden ons aan de lokale wetgeving”.

GrooV @DigitalExorcist • 21 juli 2020 19:43

Je eigen voorwaarden mogen niet in strijd zijn met andere wetgeving

sampoo 17 juli 2020 18:06

Dit is zo grootschalig dat hier wel de Chinese overheid achter moet zitten. Zeggen dat je geen logs bij houdt maar ondertussen alles kunnen volgen en op een opportuun moment ingrijpen.

Auteur

TijsZonderH Nieuwscoördinator @sampoo • 17 juli 2020 18:08

Ik heb heel slecht nieuws voor je als je denkt dat een onbeveiligde Elasticsearch-database 'grootschalig' is....

sampoo @TijsZonderH • 17 juli 2020 18:15

Het kan natuurlijk vele malen erger, maar 20 miljoen gebruikers is grootschalig voor Hong Kong. Veel van de gebruikers zullen in Hong Kong zitten en er is één grote speler die heel geïnteresseerd is in wat ze allemaal op het internet uitspoken. Zeker gezien de ruimte die ze gewend zijn te laten aan meer dan een miljard onderdanen.

twizzle @sampoo • 17 juli 2020 23:20

Maar waarom dan onbeveiligd als je ook gewoon het wachtwoord kunt delen met een inlichtingendienst

Deathchant 17 juli 2020 17:44

Ik denk wel dat we het tijdperk van vertrouwen op iemands woorden allang voorbij zijn. Onze hele maatschappij draait op good intentions en er wordt weinig gekeken naar de daden bij de woorden en nu is het al zo dat er gewoon keihard gelogen wordt en daar ook bewijs voor is en nóg komen ze ermee weg. Mooie voortgang voor alle huidige machthebbers: gewoon een chaos creeeren dat niks meer te vertrouwen is en dat iedereen er dan toch aan mee doet

Waarom zou je uberhaupt nog erop moeten vertrouwen dat een dienst of product doet wat het zegt dat het moet doen? Ze weten toch dat ze ermee weg komen als het fout gaat, en ze hebben allemaal geld genoeg om zich eruit te kopen en schuiven alles terug naar de consument, en de consument roeptoetert toch maar na dat we toch begrip moeten hebben voor verdienmodellen van bedrijven en dat er wel eens wat fout kan gaan.

Ik heb zelf NordVPN omdat die 3 jaar geleden toch als een erg goeie VPN uit de bus kwamen bij die ene privacywebsite (weet niet meer hoe die heet). Maar ja, idd, je moet ze kennelijk maar gewoon vertrouwen. Is er niet een of andere (vrije initiatief) instantie die VPN's aan de tand voelt?

WhatsappHack

Vpn
Datalek
Beveiliging en antivirus

@Deathchant • 17 juli 2020 23:07

Ik denk wel dat we het tijdperk van vertrouwen op iemands woorden allang voorbij zijn.”

*lacht in Facebook-nepnieuws*

Het best zet je een eigen VPN op ipv via een derde partij.

Zat bewezen technieken.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 01:26]

FvdM @Deathchant • 18 juli 2020 14:16

Is er niet een of andere (vrije initiatief) instantie die VPN's aan de tand voelt?

Hoe weet je zeker dat die instantie in jouw belang handelt? Daarnaast hebben ze net zoveel onderzoeksmogelijkheden als jezelf. Dus wat betreft vertrouwen kun je het onderzoek het beste zelf doen. En het liefst als database/systeem beheerder zijnde van de VPN dienst die je onderzoekt, want anders kom je niet verder dan de privacy statement dat slechts een marketing verhaaltje is.

slijkie 17 juli 2020 17:19

UFO VPN zegt dat de informatie op de server 'anoniem is', en 'alleen wordt gebruikt om de netwerkstatus en eventuele problemen van gebruikers te analiseren'

Juiiiiist heel anoniem. Wat een ongelovelijke knuppels. Hopelijk binnenkort falliet.

CrimInalA 17 juli 2020 17:56

Ik vind deze mensen zwaardere criminelen dan iemand die een bank probeert te overvallen . Zou dus willen dat ze zeker ook afdoende gestraft worden hiervoor .

Cyb 17 juli 2020 18:12

Emailadressen, sessie secrets en tokens, ip-adressen, de vpn servers, timestamps, geotags, os info.
Met dusdanig veel informatie er in, kan ik het me moeilijk voorstellen dat dit per ongeluk gebeurd is.

Het zou me ook niets verbazen als dat hele VPN bedrijf gewoon in opdracht van China is opgezet.

Thc_Nbl 17 juli 2020 18:19

Decentralize VPN mensen en je data is veilig.
B.v. Sentinel dVPN or Revamp.

marcelvb

@Thc_Nbl • 18 juli 2020 01:10

Of Tor.

Op dit item kan niet meer gereageerd worden.

Vpn-dienst zette plaintext wachtwoorden in onbeveiligde Elasticsearch-database

Lees meer

Reacties (114)

Sorteer op:

Weergave: