Gegevens van miljoen QuickFox VPN-klanten waren toegankelijk zonder wachtwoord

Securitybedrijf WizCase heeft een lek ontdekt bij gratis vpn-dienst QuickFox. Het bedrijf kreeg toegang tot de onversleutelde gebruikersdata van ongeveer een miljoen QuickFox-klanten. De meeste klanten bevinden zich in de VS, Japan, Indonesië en Kazachstan.

Volgens WizCase kon er 100GB aan data ingekeken worden. Daarin troffen de onderzoekers 500 miljoen records aan met informatie over de persoonlijke gegevens van 1 miljoen klanten en informatie over geïnstalleerde software op apparaten van ongeveer 300.000 QuickFox-klanten.

De persoonlijke gegevens betroffen namen, e-mailadressen, telefoonnummers, apparaattypen en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld waren opgeslagen. Ook de originele IP-adressen van de vpn-gebruikers waren terug te vinden. Aan de hand daarvan kon WizCase zien dat het merendeel van de getroffen klanten zich in de Verenigde Staten, Japan, Indonesië en Kazachstan bevindt.

QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase. "Het is onnodig voor de dienst die ze leveren en het is geen standaardprocedure bij andere vpn-diensten." Alle uitgelekte data dateert uit de periode tussen juni 2021 en september 2021.

Het securitybedrijf kreeg toegang tot de data zonder dat het daarvoor inloggegevens of een wachtwoord moest ingeven. "Iedereen met een browser en een internetverbinding kon aan de logs en de privacygevoelige informatie komen", zeggen de onderzoekers. Dat komt volgens WizCase door een onvolledige ELK-stackbeveiliging. "QuickFox gebruikt drie opensourceprogramma's om zoekopdrachten in grote bestanden te stroomlijnen: Elasticsearch, Logstash, and Kibana. Enkel bij Kibana was de toegang beveiligd; bij de Elasticsearch-server was dit niet het geval."

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn. WizCase nam contact op met QuickFox, maar heeft geen antwoord gekregen. Volgens Security.nl is het lek inmiddels gedicht.

Uitgelekte informatie over geïnstalleerde programma's van klanten Quickfox
Uitgelekte informatie over geïnstalleerde programma's van klanten Quickfox

Door Jay Stout

Redacteur

Feedback • 19-10-2021 15:23 27

19-10-2021 • 15:23

27

Lees meer

Elasticsearch is na drie jaar weer opensource beschikbaar onder AGPL-licentie
Elasticsearch is na drie jaar weer opensource beschikbaar onder AGPL-licentie Nieuws van 30 augustus 2024
Onderzoekers vinden MD5-collisionbug in populair Radius-authenticatieprotocol
Onderzoekers vinden MD5-collisionbug in populair Radius-authenticatieprotocol Nieuws van 10 juli 2024
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord Nieuws van 16 november 2021
ProtonVPN gaat standaard gebruikmaken van WireGuard-protocol
ProtonVPN gaat standaard gebruikmaken van WireGuard-protocol Nieuws van 14 oktober 2021
Mozilla heeft vpn-dienst stilzwijgend uitgebracht in Nederland
Mozilla heeft vpn-dienst stilzwijgend uitgebracht in Nederland Nieuws van 11 oktober 2021
Mozilla VPN krijgt ondersteuning connectie via twee vpn's en eigen dns-keuze
Mozilla VPN krijgt ondersteuning connectie via twee vpn's en eigen dns-keuze Nieuws van 17 september 2021
ExpressVPN is overgenomen door voormalig maker software voor ad-injecties
ExpressVPN is overgenomen door voormalig maker software voor ad-injecties Nieuws van 14 september 2021
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts Nieuws van 9 september 2021
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen
CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen Nieuws van 29 juli 2021
Meer producten en artikelen
Networking en security China Datalek Datalogging Security Vpn

Reacties (27)

-Moderatie-faq
27
27
20
0
0
3
Wijzig sortering
n9iels 19 oktober 2021 15:32
En zie hier de reden waarom het niet gebruiken van een VPN in sommige gevallen veiliger kan zijn dan het gebruiken van een goedkope/gratis VPN. De data van deze gebruikers zou niet op straat liggen als ze geen VPN gebruikte hadden.

Ik ben van mening dat die hele VPN hype eigenlijk maar eens voorbij moet zijn. Voor een enorm groot deel van de gebruikers is het totaal onnodig. Daarnaast geeft het een valst gevoel van veiligheid. Al die VPN boeren adverteren met het statement dat je "volledig anoniem en veilig op het internet bent". In werkelijkheid is het een leuke manier om content te bekijken die in jou land niet beschikbaar is. Maar voor de veiligheid voegt het voor 99% van de gebruikers echt geen steek toe.
The Zep Man
@n9iels19 oktober 2021 15:45
En zie hier de reden waarom het niet gebruiken van een VPN in sommige gevallen veiliger kan zijn dan het gebruiken van een goedkope/gratis VPN. De data van deze gebruikers zou niet op straat liggen als ze geen VPN gebruikte hadden.
Inderdaad. Een VPN kan beveiliging toevoegen, maar de gebruiker moet daarbij zijn eigen risicoanalyse kunnen maken voor diens eigen situatie en niet vertrouwen op de blauwe ogen van een provider. In dit geval was het (voor een tweaker, niet voor een gewone gebruiker) al makkelijk aan een enkel kenmerk te zien: er wordt door de VPN provider client-side code aangeleverd en gebruikt, wat de deur wagenwijd openzet voor misbruik.
comatoast @The Zep Man19 oktober 2021 16:03
"gratis vpn" is voor mij de grootste rode vlag hier
batteries4ever @comatoast19 oktober 2021 16:10
Nou ja, als je erop rekent dat betaalde diensten hun veiligheid wel op orde hebben, moet je hier toch eens wat vaker voorbij komen... Bij alles wat gratis is moet je je afvragen waar de benodigde centen dan vandaan komen, maar op zich hoeft gratis niet slecht te zijn.
devices @The Zep Man19 oktober 2021 20:15
Dat hoeft niet per se. Zowat alle providers leveren ook openvpn en wireguard configuratiebestanden die je kunt gebruiken met openvpn of wireguard. Ik gok dat dit ook werkt op Windows met de openvpn software, maar dat weet ik niet zeker.
Blaise @n9iels19 oktober 2021 16:51
Is dat de use case voor VPN? Ik dacht dat populair was om zorgeloos/zorgelozer auteursrechtelijke beschermde content te kunnen delen en om goedkopere of geblokkeerde buitenlandse abonnementen af te kunnen nemen.
GertMenkel
@Blaise19 oktober 2021 17:31
QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn.
Dit is eigenlijk het omgekeerde van een Chinees die een VPN gebruikt om Youtube te zien. Ik denk niet dat het per se een auteursrechtenprobleem is dat wordt opgelost, ik denk eerder dat het hier gaat om Chinese expats die de media van thuis willen zien.

Als ik in het buitenland gratis naar de NPO wil kijken, wat mijn goed recht is als Nederlands burger, heb ik ook een VPN naar huis nodig. Daar zit verder niks aan prijsverschillen of copyrightgedoe aan vast. Het lijkt me sterk dat je naar China VPN't om torrents te downloaden.
Deralte @n9iels20 oktober 2021 00:27
Voor mijn werk dien ik te verbinden met een gemonitorde verbinding, dat is verplicht bij ons op de werkvloer. Tijdens mijn pauze, wanneer ik bvb een opzoeking doe op mijn internetpc, gebruik ik toch graag een vpn verbinding. Mijn werkgever heeft geen inzicht nodig in mijn persoonlijk leven.

Als noot wil ik toevoegen dat, tijdens pauzes persoonlijk internetverkeer is toegestaan.
Yggdrasil @Deralte20 oktober 2021 10:52
Als het een PC van de baas is is het niet moeilijk om toch te weten wat je bezoekt, ook al gebruik je een VPN voor verkeer naar buiten. Ik benoem het maar even voor mensen die dit niet weten.
Deralte @Yggdrasil20 oktober 2021 15:12
Maar dat is het niet. Mijn werklaptop is door mezelf geïnstalleerd en beheerd ;)
The Zep Man
19 oktober 2021 15:29
De persoonlijke gegevens betrof namen, e-mailadressen, telefoonnummers, apparaattypes en wachtwoorden die via het verouderde MD5-hashalgoritme versleuteld stonden opgeslagen.
Dus die wachtwoorden liggen op straat.
QuickFox verzamelde volgens WizCase ook informatie over software op de apparaten van zijn klanten. Zo werden geïnstalleerde apps gelogd, de datum van de installatie en het versienummer bijgehouden. "Het is onduidelijk waarom QuickFox deze data verzamelde", schrijven de onderzoekers van WizCase. "Het is onnodig voor de dienst die zij leveren en het is geen standaardprocedure bij andere vpn-diensten." Alle gelekte data dateert uit de periode tussen juni 2021 en september 2021.

(...)

QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn.
Dat zijn meer rode vlaggen dan bij een CCP parade!

[edit]
Van wat ik zie op het screenshot lijkt het erop dat ze per apparaat een MAC adres gebruikte als unieke identifier ('deviceCode'). Dat heeft natuurlijk een risico voor vervuilde resultaten, want MAC adressen zijn niet uniek en kunnen om veel verschillende redenen wijzigen (andere primaire netwerkadapter, MAC spoofing, ...).

[Reactie gewijzigd door The Zep Man op 23 juli 2024 16:47]

nst6ldr @The Zep Man19 oktober 2021 16:05
[...]

Dat zijn meer rode vlaggen dan bij een CCP parade!
We zijn gewend om VPN te zien als een instrument om privacy te borgen op openbare netwerken, maar de primaire use case waar het voor is bedacht is natuurlijk kunnen deelnemen aan het bedrijfsnetwerk terwijl je niet op kantoor bent. Blijkbaar zijn er websites die standaard niet buiten China toegankelijk mogen zijn, dan is een VPN de eerste beste oplossing voor alle uitzonderingen.
DrPoncho @The Zep Man19 oktober 2021 15:45
Dat zijn meer rode vlaggen dan bij een CCP parade!
Haha, nice.
batjes
@The Zep Man19 oktober 2021 17:25
In theorie zijn macadressen uniek. Maar goed ik word steeds uitgelachen als ik deel dat we een jaar of 15 terug bij het opnieuw inrichting van een collega's thuisnetwerk dat we 2 apparaten hadden met hetzelfde macadres. Kan niet, blabla.

Was best een puzzel om achter te komen, verwacht je niet.
Jonathan-458 19 oktober 2021 15:31
Zegt "Gratis VPN" al niet voldoende?
WWWWWWWWWWWWWWW 19 oktober 2021 19:31
quickfox.com.cn zegt alweer genoeg. Welkom bij de zoveelste Chinese spyware.
GekkePrutser 19 oktober 2021 22:24
Ja zoiets als een ELK stack moet je ook verrekte goed beveiligen. Anders kijken de hackers gewoon met je mee. Zo'n ELK stack is enorm veel gebruikt (naast commerciele oplossingen zoals logz.io wat gewoon een commerciele ELK stack is, en splunk dat hun eigen stack gemaakt heeft). De drie tools van de ELK letters werken samen tot een "datalake" voor logs van allerlei bronnen waarin je dan kan zoeken en rapporten aanmaken voor verdachte zaken.

Die beveiliging wordt nog wel eens vergeten "want het is toch maar logging". Maar zelfs als er geen persoonlijke klanten informatie in te vinden is zoals hier, kan het nog zeer waardevolle info voor hackers bevatten.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 16:47]

jongstebediende 19 oktober 2021 15:33
"QuickFox is een gratis vpn-dienst die zich voornamelijk richt op Chinese gebruikers die vanaf een locatie buiten China naar Chinese websites willen surfen die niet via het buitenland te bezoeken zijn"
Triest om te moeten constateren dat Chinese internetgebruikers worden gecensureerd in het buitenland en dat ze een VPN nodig hebben om Chinese websites te kunnen bezoeken. De Chinezen zitten vooral in Amerika lees ik. 8)7
NielsFL @jongstebediende19 oktober 2021 15:59
Het is geen censuur. Het is gewoon een rechtenkwestie. Buiten de VS/Japan mag je geen Hulu kijken, buiten China moet je het zonder de betere content van Qiyi, Youku, etc. doen.

Enkele jaren terug kregen we als VPN provider vooral verzoeken om Hulu en Netflix mogelijk te maken, maar nu is dat inderdaad andersom: men wil Qiyi en andere Chinese diensten kijken.

Heeft overigens niet zoveel met Chinezen an sich te maken. Mensen zoeken gewoon de goedkoopste weg om films en series te kijken. Op dit moment zijn beste deals simpelweg bij de Chinese sites.
uip @NielsFL19 oktober 2021 17:40
Meer informatie hier. Blijkbaar hebben ze een 106 miljoen abonnees, Netflix had er eind 2020 een 200 miljoen
FreshMaker
@jongstebediende19 oktober 2021 15:57
[...]


Triest om te moeten constateren dat Chinese internetgebruikers worden gecensureerd in het buitenland en dat ze een VPN nodig hebben om Chinese websites te kunnen bezoeken. De Chinezen zitten vooral in Amerika lees ik. 8)7
Sla je nu aan op het censuurdeel, of op het China deel ?
Want beiden zijn OOK in Nederland / het westen gewoon aan de orde hoor
Met een NL ipadres krijg je sommige dingen in de VS niet te zien, en biuten de EU kan je ook niet zomaar je Ziggo-tv accountje gebruiken.
Dat is geen censuur, dat is bedrijfsvoering.

Mijn netwerken zijn niet vanuit Chinese / Russische / Afrikaanse IPranges te benaderen, daar zit een geoblock op, omdat ik niemand 'bedien' in die regio's
Zouden ze een willekeurig NL/BE ipadres gebruiken ( vpn ) is het enige wat ze nog tegenhoudt een inlog/authenticatie
Censureer ik dan ook ?
Of maak ik bewuste keuzes wie er mag langskomen
Bender 19 oktober 2021 15:49
MD5-hashalgoritme wordt als onveilig gezien omdat veel letter combinaties (en woorden dus) met md5 al eens omgezet zijn en in grote databases opgeslagen worden (zogenaamde Rainbow tables).
Hierdoor is het vaak eenvoudig om een wachtwoord te krijgen van een hash.

Zo'n rainbow table is vaak niet meer dan
password 5f4dcc3b5aa765d61d8327deb882cf99
welkom123 87d7f56b4bec43abc1fdd21b3be2eb44

En geeft dus gewoon terug wat al voorheen opgeslagen is.

(dit even als aanvulling in jip en janneke taal voor degene die zich afvragen wat het probleem is met md5)
EJlol @Bender19 oktober 2021 16:00
Rainbow tabellen kan je tegen gaan met een salt. Dat er rainbow tabellen zijn maakt het dus niet persee onveilig.

Wat het onveilig maakt is dat MD5 hashes zeer snel gemaakt kunnen worden (en je dus redelijk snel een rainbow tabel kan opbouwen). En dat er ook collision attacks bekend zijn:
https://www.kb.cert.org/vuls/id/836068
Herko_ter_Horst @EJlol19 oktober 2021 17:02
Wat verbazingwekkend is, is dat de vulnerabilities van MD5 al 25 jaar bekend zijn en er dus nog steeds systemen zijn die er (voor passwords) gebruik van maken...
Herko_ter_Horst @Bender19 oktober 2021 16:31
Alleen is dit dus niet het voornaamste probleem met MD5, zoals EJlol al opmerkt.

Het grootste probleem m.b.t. het gebruik van MD5 voor password-hashes is, dat MD5 snel en goedkoop te brute-forcen is. Dus rainbow-tabel of niet, salt of niet, met een relatief eenvoudig tooltje kun je (zeker met de GPU-based variant daarvan) miljarden MD5-hashes per seconde genereren.
SerealKiller 19 oktober 2021 17:22
ben een leek op dit gebied, maar een software product van onze organisatie (Cloudbased) maakt gebruik van elasticsearch. Is dit reden om eens hierin te gaan duiken, of heeft dit gewoon geen relatie met de gebruikte methode van dit lek?
aikebah @SerealKiller19 oktober 2021 21:39
Het kan geen kwaad om uit te (laten) zoeken of de elasticsearch instance van die applicatie fatsoenlijk afgedicht is. In de categorie beter ten halve gekeerd dan ten hele gehacked.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq