Gegevens van miljoen QuickFox VPN-klanten waren toegankelijk zonder wachtwoord

Securitybedrijf WizCase heeft een lek ontdekt bij gratis vpn-dienst QuickFox. Het bedrijf kreeg toegang tot de onversleutelde gebruikersdata van ongeveer een miljoen QuickFox-klanten. De meeste klanten bevinden zich in de VS, Japan, Indonesië en Kazachstan.

Volgens WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten.

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase. "Het is onnodig voor de dienst die ze leveren en het is geen standaardprocedure bij andere vpn-diensten." Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021.

Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. "Iedereen met een browser en een internetverbinding kon aan de logs en de privacygevoelige informatie komen", zeggen de onderzoekers. Dat komt volgens WizCase door een onvolledige ELK-stackbeveiliging. "QuickFox gebruikt drie opensourceprogramma's om zoekopdrachten in grote bestanden te stroomlijnen: Elasticsearch, Logstash, and Kibana. Enkel bij Kibana was de toegang beveiligd; bij de Elasticsearch-server was dit niet het geval."

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Uitgelekte informatie over geïnstalleerde programma's van klanten Quickfox

Door Jay Stout

Redacteur

19-10-2021 • 15:23

27 Linkedin

Reacties (27)

Wijzig sortering
En zie hier de reden waarom het niet gebruiken van een VPN in sommige gevallen veiliger kan zijn dan het gebruiken van een goedkope/gratis VPN. De data van deze gebruikers zou niet op straat liggen als ze geen VPN gebruikte hadden.

Ik ben van mening dat die hele VPN hype eigenlijk maar eens voorbij moet zijn. Voor een enorm groot deel van de gebruikers is het totaal onnodig. Daarnaast geeft het een valst gevoel van veiligheid. Al die VPN boeren adverteren met het statement dat je "volledig anoniem en veilig op het internet bent". In werkelijkheid is het een leuke manier om content te bekijken die in jou land niet beschikbaar is. Maar voor de veiligheid voegt het voor 99% van de gebruikers echt geen steek toe.
En zie hier de reden waarom het niet gebruiken van een VPN in sommige gevallen veiliger kan zijn dan het gebruiken van een goedkope/gratis VPN. De data van deze gebruikers zou niet op straat liggen als ze geen VPN gebruikte hadden.
Inderdaad. Een VPN kan beveiliging toevoegen, maar de gebruiker moet daarbij zijn eigen risicoanalyse kunnen maken voor diens eigen situatie en niet vertrouwen op de blauwe ogen van een provider. In dit geval was het (voor een tweaker, niet voor een gewone gebruiker) al makkelijk aan een enkel kenmerk te zien: er wordt door de VPN provider client-side code aangeleverd en gebruikt, wat de deur wagenwijd openzet voor misbruik.
"gratis vpn" is voor mij de grootste rode vlag hier
Nou ja, als je erop rekent dat betaalde diensten hun veiligheid wel op orde hebben, moet je hier toch eens wat vaker voorbij komen... Bij alles wat gratis is moet je je afvragen waar de benodigde centen dan vandaan komen, maar op zich hoeft gratis niet slecht te zijn.
Dat hoeft niet per se. Zowat alle providers leveren ook openvpn en wireguard configuratiebestanden die je kunt gebruiken met openvpn of wireguard. Ik gok dat dit ook werkt op Windows met de openvpn software, maar dat weet ik niet zeker.
Is dat de use case voor VPN? Ik dacht dat populair was om zorgeloos/zorgelozer auteursrechtelijke beschermde content te kunnen delen en om goedkopere of geblokkeerde buitenlandse abonnementen af te kunnen nemen.
QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn.
Dit is eigenlijk het omgekeerde van een Chinees die een VPN gebruikt om Youtube te zien. Ik denk niet dat het per se een auteursrechtenprobleem is dat wordt opgelost, ik denk eerder dat het hier gaat om Chinese expats die de media van thuis willen zien.

Als ik in het buitenland gratis naar de NPO wil kijken, wat mijn goed recht is als Nederlands burger, heb ik ook een VPN naar huis nodig. Daar zit verder niks aan prijsverschillen of copyrightgedoe aan vast. Het lijkt me sterk dat je naar China VPN't om torrents te downloaden.
Voor mijn werk dien ik te verbinden met een gemonitorde verbinding, dat is verplicht bij ons op de werkvloer. Tijdens mijn pauze, wanneer ik bvb een opzoeking doe op mijn internetpc, gebruik ik toch graag een vpn verbinding. Mijn werkgever heeft geen inzicht nodig in mijn persoonlijk leven.

Als noot wil ik toevoegen dat, tijdens pauzes persoonlijk internetverkeer is toegestaan.
Als het een PC van de baas is is het niet moeilijk om toch te weten wat je bezoekt, ook al gebruik je een VPN voor verkeer naar buiten. Ik benoem het maar even voor mensen die dit niet weten.
Maar dat is het niet. Mijn werklaptop is door mezelf geïnstalleerd en beheerd ;)
De persoonlijke gegevens betrof namen, e-mailadressen, telefoonnummers, apparaattypes en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld stonden opgeslagen.
Dus die wachtwoorden liggen op straat.
QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase. "Het is onnodig voor de dienst die zij leveren en het is geen standaardprocedure bij andere vpn-diensten." Alle gelekte data dateert uit de periode tussen juni 2021 en september 2021.

(...)

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn.
Dat zijn meer rode vlaggen dan bij een CCP parade!

[edit]
Van wat ik zie op het screenshot lijkt het erop dat ze per apparaat een MAC adres gebruikte als unieke identifier ('deviceCode'). Dat heeft natuurlijk een risico voor vervuilde resultaten, want MAC adressen zijn niet uniek en kunnen om veel verschillende redenen wijzigen (andere primaire netwerkadapter, MAC spoofing, ...).

[Reactie gewijzigd door The Zep Man op 19 oktober 2021 15:33]

[...]

Dat zijn meer rode vlaggen dan bij een CCP parade!
We zijn gewend om VPN te zien als een instrument om privacy te borgen op openbare netwerken, maar de primaire use case waar het voor is bedacht is natuurlijk kunnen deelnemen aan het bedrijfsnetwerk terwijl je niet op kantoor bent. Blijkbaar zijn er websites die standaard niet buiten China toegankelijk mogen zijn, dan is een VPN de eerste beste oplossing voor alle uitzonderingen.
Dat zijn meer rode vlaggen dan bij een CCP parade!
Haha, nice.
In theorie zijn macadressen uniek. Maar goed ik word steeds uitgelachen als ik deel dat we een jaar of 15 terug bij het opnieuw inrichting van een collega's thuisnetwerk dat we 2 apparaten hadden met hetzelfde macadres. Kan niet, blabla.

Was best een puzzel om achter te komen, verwacht je niet.
Zegt "Gratis VPN" al niet voldoende?
quickfox.com.cn zegt alweer genoeg. Welkom bij de zoveelste Chinese spyware.
Ja zoiets als een ELK stack moet je ook verrekte goed beveiligen. Anders kijken de hackers gewoon met je mee. Zo'n ELK stack is enorm veel gebruikt (naast commerciele oplossingen zoals logz.io wat gewoon een commerciele ELK stack is, en splunk dat hun eigen stack gemaakt heeft). De drie tools van de ELK letters werken samen tot een "datalake" voor logs van allerlei bronnen waarin je dan kan zoeken en rapporten aanmaken voor verdachte zaken.

Die beveiliging wordt nog wel eens vergeten "want het is toch maar logging". Maar zelfs als er geen persoonlijke klanten informatie in te vinden is zoals hier, kan het nog zeer waardevolle info voor hackers bevatten.

[Reactie gewijzigd door GekkePrutser op 19 oktober 2021 22:27]

"QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn"
Triest om te moeten constateren dat Chinese internetgebruikers worden gecensureerd in het buitenland en dat ze een VPN nodig hebben om Chinese websites te kunnen bezoeken. De Chinezen zitten vooral in Amerika lees ik. 8)7
Het is geen censuur. Het is gewoon een rechtenkwestie. Buiten de VS/Japan mag je geen Hulu kijken, buiten China moet je het zonder de betere content van Qiyi, Youku, etc. doen.

Enkele jaren terug kregen we als VPN provider vooral verzoeken om Hulu en Netflix mogelijk te maken, maar nu is dat inderdaad andersom: men wil Qiyi en andere Chinese diensten kijken.

Heeft overigens niet zoveel met Chinezen an sich te maken. Mensen zoeken gewoon de goedkoopste weg om films en series te kijken. Op dit moment zijn beste deals simpelweg bij de Chinese sites.
Meer informatie hier. Blijkbaar hebben ze een 106 miljoen abonnees, Netflix had er eind 2020 een 200 miljoen
[...]


Triest om te moeten constateren dat Chinese internetgebruikers worden gecensureerd in het buitenland en dat ze een VPN nodig hebben om Chinese websites te kunnen bezoeken. De Chinezen zitten vooral in Amerika lees ik. 8)7
Sla je nu aan op het censuurdeel, of op het China deel ?
Want beiden zijn OOK in Nederland / het westen gewoon aan de orde hoor
Met een NL ipadres krijg je sommige dingen in de VS niet te zien, en biuten de EU kan je ook niet zomaar je Ziggo-tv accountje gebruiken.
Dat is geen censuur, dat is bedrijfsvoering.

Mijn netwerken zijn niet vanuit Chinese / Russische / Afrikaanse IPranges te benaderen, daar zit een geoblock op, omdat ik niemand 'bedien' in die regio's
Zouden ze een willekeurig NL/BE ipadres gebruiken ( vpn ) is het enige wat ze nog tegenhoudt een inlog/authenticatie
Censureer ik dan ook ?
Of maak ik bewuste keuzes wie er mag langskomen
MD5-hashalgoritme wordt als onveilig gezien omdat veel letter combinaties (en woorden dus) met md5 al eens omgezet zijn en in grote databases opgeslagen worden (zogenaamde Rainbow tables).
Hierdoor is het vaak eenvoudig om een wachtwoord te krijgen van een hash.

Zo'n rainbow table is vaak niet meer dan
password 5f4dcc3b5aa765d61d8327deb882cf99
welkom123 87d7f56b4bec43abc1fdd21b3be2eb44

En geeft dus gewoon terug wat al voorheen opgeslagen is.

(dit even als aanvulling in jip en janneke taal voor degene die zich afvragen wat het probleem is met md5)
Rainbow tabellen kan je tegen gaan met een salt. Dat er rainbow tabellen zijn maakt het dus niet persee onveilig.

Wat het onveilig maakt is dat MD5 hashes zeer snel gemaakt kunnen worden (en je dus redelijk snel een rainbow tabel kan opbouwen). En dat er ook collision attacks bekend zijn:
https://www.kb.cert.org/vuls/id/836068
Wat verbazingwekkend is, is dat de vulnerabilities van MD5 al 25 jaar bekend zijn en er dus nog steeds systemen zijn die er (voor passwords) gebruik van maken...
Alleen is dit dus niet het voornaamste probleem met MD5, zoals EJlol al opmerkt.

Het grootste probleem m.b.t. het gebruik van MD5 voor password-hashes is, dat MD5 snel en goedkoop te brute-forcen is. Dus rainbow-tabel of niet, salt of niet, met een relatief eenvoudig tooltje kun je (zeker met de GPU-based variant daarvan) miljarden MD5-hashes per seconde genereren.
ben een leek op dit gebied, maar een software product van onze organisatie (Cloudbased) maakt gebruik van elasticsearch. Is dit reden om eens hierin te gaan duiken, of heeft dit gewoon geen relatie met de gebruikte methode van dit lek?
Het kan geen kwaad om uit te (laten) zoeken of de elasticsearch instance van die applicatie fatsoenlijk afgedicht is. In de categorie beter ten halve gekeerd dan ten hele gehacked.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee