VPN-dienst Hola heeft beterschap beloofd nadat de bandbreedte van gebruikers werd gebruikt voor het uitvoeren van een DDoS-aanval en er lekken in de software werden ontdekt, maar onderzoekers zijn niet overtuigd. Hola is een extensie voor Google Chrome en biedt gebruikers een gratis VPN-verbinding.

Wat veel mensen echter niet weten is dat het bedrijf achter de VPN-dienst de bandbreedte van gebruikers verkoopt via een dienst genaamd Luminati. Luminati geeft partijen die ervoor betalen toegang tot het Hola-netwerk. Onlangs wist iemand deze dienst voor een DDoS-aanval op de website 8Chan te gebruiken. Hola kreeg daarop een storm van kritiek te verduren en de oprichter van 8Chan adviseerde gebruikers om de software te verwijderen.

Daarnaast werden er ook verschillende kwetsbaarheden in de software ontdekt waardoor een aanvaller in het ergste geval willekeurige code op de computer kan uitvoeren. In een verklaring stelt CEO Ofer Vilenski dat er sprake is van "groeistuipen" en dat sommige beschuldigingen in de media ongerechtvaardigd zijn. Toch gaat het bedrijf verschillende maatregelen nemen.

Bandbreedte delen

De eerste maatregel betreft informatie over het delen van bandbreedte. Door het een P2P-netwerk te noemen dacht Hola dat het voor gebruikers duidelijk was dat ook hun bandbreedte werd gebruikt. Iets wat achteraf niet zo blijkt te zijn, aldus Vilenski. Daarom zal dit nu nog duidelijker naar gebruikers toe worden gecommuniceerd. Verder stelt de CEO dat er helemaal niet zoveel bandbreedte van gebruikers wordt gebruikt, namelijk 6MB per dag.

Deze bandbreedte zou alleen voor zakelijke klanten toegankelijk moeten zijn. In het geval van de DDoS-aanval die vorige week plaatsvond wist een "spammer" zich voor te doen als een bedrijf en werd zo niet door Luminati opgemerkt. Om herhaling te voorkomen zijn er verschillende processen veranderd. Daarnaast zal er een Chief Security Officer worden aangesteld.

Kwetsbaarheden

Verder wijst Vilenski naar twee kwetsbaarheden die werden ontdekt en inmiddels zouden zijn gepatcht. Ook laat Hola de code door een externe partij doorlopen en zal er binnenkort een "bug bounty" programma worden gelanceerd, waarbij hackers en onderzoekers die kwetsbaarheden melden worden beloond. Ondanks de woorden van de CEO zijn de onderzoekers die de kwetsbaarheden ontdekten niet overtuigd.

Volgens hen zijn de problemen nog steeds aanwezig en heeft Hola alleen cosmetische aanpassingen doorgevoerd zodat hun demonstratie van de lekken niet meer werkt. "Veel van de problemen zijn genegeerd, en sommige beweringen zijn gewoon niet waar", zo laten ze op de website Adios-Hola.org weten.