Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Gratis vpn-diensten lekken privégegevens van 20 miljoen gebruikers

maandag 1 maart 2021, 09:47 door Redactie, 16 reacties

Gratis vpn-diensten SuperVPN en GeckoVPN hebben de privégegevens van ruim 20 miljoen gebruikers gelekt. Het gaat om apparaatgegevens, zoals model telefoon, e-mailadressen, geografische locatie, IMSI-nummers en inloggeschiedenis. Dat meldt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned.

De gegevens werden bij de vpn-diensten gestolen en vervolgens op internet te koop aangeboden. De aangeboden dataset bevat naast twintig miljoen accountrecords van SuperVPN en GeckoVPN ook een klein aantal records van vpn-dienst FlashVPN. Volgens Hunt Suggereert dit dat de drie gratis vpn-aanbieders hetzelfde platform gebruiken.

De Android-app van SuperVPN telt meer dan honderd miljoen installaties, terwijl GeckoVPN meer dan een miljoen keer is geïnstalleerd. De ruim 20 miljoen gestolen e-mailadressen zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 8 procent al via een ander datalek bij Have I Been Pwned bekend.

Kritiek lek in Logix-controllers voor fabrieken door hard-coded key
AP: sterke toename van datalekmeldingen door malware en phishing
Reacties (16)
Reageer met quote
01-03-2021, 10:04 door Anoniem
We kunnen natuurlijk wachten tot het moment dat "Have I been Powned" gehacked wordt.

Heb je lekker slim daar je emailadres ingevoerd.

O wacht eens je email adres wordt niet opgeslagen.

Maar waarom is de hoofdpagina dan besmet?

Je kan erop wachten natuurlijk.
Reageer met quote
01-03-2021, 10:46 door Anoniem
Wie vertrouw je meer: je provider, of je VPN dienst?

1 - 0 zou ik vandaag weer zeggen.
Reageer met quote
01-03-2021, 10:57 door Anoniem
Wat moet een VPN nou met gegevens als model telefoon, geografische locatie, IMSI-nummers etc?
O wacht, het is geen VPN maar een lokkertje om prive gegevens af te staan!
Daar kun je op wachten natuurlijk... allemaal mensen die denken dat een VPN hen beschermt, en die dan gegevens aftroggelen waarmee ze wellicht juist minder beschermd zijn...
Reageer met quote
01-03-2021, 11:21 door Anoniem
Door Anoniem: ... Maar waarom is de hoofdpagina dan besmet?...

Besmet waarmee? Leg eens uit?
Reageer met quote
01-03-2021, 11:56 door Anoniem
Door Anoniem: We kunnen natuurlijk wachten tot het moment dat "Have I been Powned" gehacked wordt.

Heb je lekker slim daar je emailadres ingevoerd.

O wacht eens je email adres wordt niet opgeslagen.

Maar waarom is de hoofdpagina dan besmet?

Je kan erop wachten natuurlijk.
Alle informatie op Have I been Pwned is al informatie dat gelekt is op het internet dat is het hele doel van de site mensen te informeren dat hun informatie gelekt is. Dus welke verhoogd risico zou iemand hier bij lopen.
Reageer met quote
01-03-2021, 12:28 door Anoniem
Al een tijdje (weloverwogen) vpn-gebruiker, maar nog nooit eerder gehoord van bovengenoemde providers. M.i. zijn dergelijke vpn's de shadies waar men voor waarschuwt: Om te beginnen lastig te achterhalen van waaruit die bedrijfjes opereren. En wel erg vreemd om een apk-bestand via derden te moeten downloaden voor de Windows-app.
Dan weet je genoeg, zou je denken...
Reageer met quote
01-03-2021, 12:34 door Briolet
Door Anoniem:
Door Anoniem: We kunnen natuurlijk wachten tot het moment dat "Have I been Powned" gehacked wordt.

Heb je lekker slim daar je emailadres ingevoerd.….
Alle informatie op Have I been Pwned is al informatie dat gelekt is op het internet dat is het hele doel van de site mensen te informeren dat hun informatie gelekt is. Dus welke verhoogd risico zou iemand hier bij lopen.

Nee, niet alle info is gelekt. Je voert nml zelf een email adres in om te testen of die gelekt is. In de meeste gevallen zal dit een nieuw adres zijn, die bij lekken voor een nieuwe phishing campagne gebruikt kan worden.
Reageer met quote
01-03-2021, 12:39 door Anoniem
Als je dus eigenlijk niemand meer fundamenteel met je data kunt vertrouwen,
wat voor alternatieven blijven er dan nog over,
eer alles het raam uitvliegt of versjacherd wordt aan de hoogste bieder van dat moment?

E-blocker kubus. Tor en Tails? Linux met een epische browser?

Tweede vraag, waarom beschouwen de Amerikaanse drie-letterdiensten Tor browser gebruikers en
linux fans als "extremisten"? Waarom die haat tegen onafhankelijkheid van het geplande model?

Hoe ver gaat tegenwoordig de "gedachten-politie"?
In hoeverre gaat de globale IT gemeenschap meer en meer op een gigantische soort van dictatuur lijken?

Twee kantelmomenten meegemaakt. In 2001 met daarna de voortdurende strijd tegen T&P.
Nu in 2019 en het corona-tijdperk daarna met zeer grote veranderingen
en vrijheidsinperkingen op medische gronden en voor ons bestwil zogezegd.
Ja ook met invloed op de digitale informatie-voorziening.

Iemand? Wie legt het eens uit op grond waarvan dit alles gebeurt?
Het Internet van nu is het Internet uit het begin niet meer.

Weg zijn de resource engineers, de ad- & smut-free pioniers.
Steeds meer drang en dwang van Silicon Big Tech & Co.

Kan het nog decentraal en anders, net zoals bij het kaaswinkeltje bij de plaatselijke boer om de hoek?
Frank en vrij, ouderwetse kwaliteit via korte lijntjes aangeleverd?

Ik zou graag een dikke vinger op willen steken naar de trackers en alle surveillance faciliteurs.
Piratenpartij helpt er niet bij, te veel een marginaal clubje bevlogenen.

Jodocus Oyevaer
Reageer met quote
01-03-2021, 14:30 door Anoniem
Door Anoniem: Alle informatie op Have I been Pwned is al informatie dat gelekt is op het internet dat is het hele doel van de site mensen te informeren dat hun informatie gelekt is. Dus welke verhoogd risico zou iemand hier bij lopen.
Het nadeel van die site is wel dat Google daar een script uitvoert. Voor Google dan een koudkunstje om mail-, IP-adres, browser etc. te koppelen. Ieder beetje data is tenslotte voor Google interessant.

De website werkt gelukkig ook wanneer je dit blokkeert.
Reageer met quote
01-03-2021, 18:09 door Anoniem
Door Anoniem: Wie vertrouw je meer: je provider, of je VPN dienst?

1 - 0 zou ik vandaag weer zeggen.

Oh, ik vertrouw mijn ISP wél maar heb steeds meer twijfels bij de overheid en haar sleepnet mogelijkheden.
Dus ik vertrouw ÓÓK mijn betaalde VPN provider en daarmee blijf ik redelijk uit het sleepnet van CDA en VVD.
Tevens kan mijn ISP redelijk eenvoudig gedwongen worden om data te verzamelen en af te staan, als ze bij mijn VPN boer willen shoppen moet daar eerst nog met andere ogen naar gekeken worden voordat ze een machtiging krijgen.

1 - 2 zou ik vandaag weer zeggen.
Reageer met quote
01-03-2021, 18:12 door Anoniem
Door Anoniem:
Door Anoniem: We kunnen natuurlijk wachten tot het moment dat "Have I been Powned" gehacked wordt.

Heb je lekker slim daar je emailadres ingevoerd.

O wacht eens je email adres wordt niet opgeslagen.

Maar waarom is de hoofdpagina dan besmet?

Je kan erop wachten natuurlijk.
Alle informatie op Have I been Pwned is al informatie dat gelekt is op het internet dat is het hele doel van de site mensen te informeren dat hun informatie gelekt is. Dus welke verhoogd risico zou iemand hier bij lopen.

Het is niet alleen gelekte data, ook gestolen data en daar heeft Troy Hunt zelf aktief aan mee gedaan.
https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen
Reageer met quote
01-03-2021, 19:42 door Anoniem
Door Anoniem: Als je dus eigenlijk niemand meer fundamenteel met je data kunt vertrouwen,
wat voor alternatieven blijven er dan nog over,
eer alles het raam uitvliegt of versjacherd wordt aan de hoogste bieder van dat moment?

E-blocker kubus. Tor en Tails? Linux met een epische browser?

Tweede vraag, waarom beschouwen de Amerikaanse drie-letterdiensten Tor browser gebruikers en
linux fans als "extremisten"? Waarom die haat tegen onafhankelijkheid van het geplande model?

Hoe ver gaat tegenwoordig de "gedachten-politie"?
In hoeverre gaat de globale IT gemeenschap meer en meer op een gigantische soort van dictatuur lijken?

Twee kantelmomenten meegemaakt. In 2001 met daarna de voortdurende strijd tegen T&P.
Nu in 2019 en het corona-tijdperk daarna met zeer grote veranderingen
en vrijheidsinperkingen op medische gronden en voor ons bestwil zogezegd.
Ja ook met invloed op de digitale informatie-voorziening.

Iemand? Wie legt het eens uit op grond waarvan dit alles gebeurt?
Het Internet van nu is het Internet uit het begin niet meer.

Weg zijn de resource engineers, de ad- & smut-free pioniers.
Steeds meer drang en dwang van Silicon Big Tech & Co.

Kan het nog decentraal en anders, net zoals bij het kaaswinkeltje bij de plaatselijke boer om de hoek?
Frank en vrij, ouderwetse kwaliteit via korte lijntjes aangeleverd?

Ik zou graag een dikke vinger op willen steken naar de trackers en alle surveillance faciliteurs.
Piratenpartij helpt er niet bij, te veel een marginaal clubje bevlogenen.

Jodocus Oyevaer

Wij krijgen straks een uitnodiging om naar de hemel te gaan bij de 13e Corona golf

Dan krijgen we een natuurfilm te zien waar je rustig wordt

Ondertussen krijg je een spuitje (dat voel je dan niet want je laatste avondmaal bevatte een kalmeringsmiddel) en je hart stopt

Zoals in de film Soylent Green

It's a Brave New World out there :)

Diegenen met een Facebook profiel hoeven zich nergens zorgen over te maken

"Zolang je maar elke dag minimaal 10 minuten op Twitter zit"
Reageer met quote
01-03-2021, 21:36 door Anoniem
Door Briolet:
Door Anoniem:
Door Anoniem: We kunnen natuurlijk wachten tot het moment dat "Have I been Powned" gehacked wordt.

Heb je lekker slim daar je emailadres ingevoerd.….
Alle informatie op Have I been Pwned is al informatie dat gelekt is op het internet dat is het hele doel van de site mensen te informeren dat hun informatie gelekt is. Dus welke verhoogd risico zou iemand hier bij lopen.

Nee, niet alle info is gelekt. Je voert nml zelf een email adres in om te testen of die gelekt is. In de meeste gevallen zal dit een nieuw adres zijn, die bij lekken voor een nieuwe phishing campagne gebruikt kan worden.
Kan je die laster ook bewijzen? Of gewoon onderbuikgevoelens?
Reageer met quote
02-03-2021, 06:46 door Anoniem
Door Briolet: Nee, niet alle info is gelekt. Je voert nml zelf een email adres in om te testen of die gelekt is. In de meeste gevallen zal dit een nieuw adres zijn, die bij lekken voor een nieuwe phishing campagne gebruikt kan worden.
Door Anoniem: Het nadeel van die site is wel dat Google daar een script uitvoert. Voor Google dan een koudkunstje om mail-, IP-adres, browser etc. te koppelen. Ieder beetje data is tenslotte voor Google interessant.
Mensen, verlies alsjeblieft het onderscheid niet uit het oog tussen wat zou kunnen gebeuren en wat er werkelijk gebeurt.

Om met Google te beginnen: open de site in Firefox, open de developer tools en daarin de netwerktab. Vul dan een willekeurig e-mailadres in en kijk wat er aan requests gedaan wordt. Ik zie dan één request, die gaat naar haveibeenpwned.com en ik zie niets naar Google gaan. Het ziet er niet uit alsof Google dat koude kunstje ook werkelijk uitvoert. Waarom Google wel beter uitkijkt om dat soort stunts uit te halen kan ik ook makkelijk bedenken. In hun verdienmodel als advertentienetwerk is data verzamelen over mensen een belangrijke bezigheid, dat klopt. Zodra ze zelfs maar de schijn wekken dat ze vertrouwelijke data die mensen in formulieren invullen verzamelen gooien ze echter hun reputatie als degelijke partij voor analytics en dergelijke compleet te grabbel. In de VS is het ook nog eens zo dat als je dingen flikt waarvan je in je voorwaarden expliciet beloofd hebt ze niet te flikken je behoorlijk draconische boetes opgelegd kan krijgen. Zelfs een reus als Google heeft goede redenen om dat soort ellende te mijden als kiespijn.

Wat haveibeenpwned.com zelf met een ingevuld e-mailadres doet uit zich niet in netwerkverkeer. Dat kunnen we dus niet weten. Het is inderdaad mogelijk dat als die site gehackt wordt er e-mailadressen geoogst worden, en het is inderdaad ook mogelijk dat Troy Hunt niet vertrouwd kan worden en stiekem dat soort rotzooi uithaalt. Zijn er aanwijzingen dat die dingen ook werkelijk gaande zijn? Ik zie ze niet. Troy Hunt lijkt qua achtergrond goed in staat te moeten zijn om de beveiliging van zijn site goed in te richten en bij te houden, en als ik lees wat hij schrijft en wat er over hem geschreven is komt hij over als iemand die gemotiveerd wordt door algemeen belang. Misschien behoren jullie tot de groep mensen die niet kunnen geloven dat algemeen belang, of het belang van anderen, een bron van motivatie kan zijn, maar als dat zo is zegt dat in mijn ogen meer over jullie zelf dan over Troy Hunt. Ik kan op geen enkele manier garanderen dat die site deugt, maar ik zie tegelijk geen enkel geloofwaardig signaal dat die site niet deugt en wel signalen dat het goed zit.

Door Anoniem: Het is niet alleen gelekte data, ook gestolen data en daar heeft Troy Hunt zelf aktief aan mee gedaan.
https://www.security.nl/posting/657177/Onbeveiligde+Elasticsearch-server+lekt+23+miljoen+e-mailadressen
Hoe zie je precies dat hij actief aan het stelen heeft meegedaan? Een andere partij dan hij heeft een onbeveiligde elasticsearch-database gevonden, hem daarover benaderd en hij heeft meegedaan aan het onderzoek ernaar.

En ja, ongetwijfeld zijn die e-mailadressen in haveibeenpwnd.com opgenomen. Ik weet dat er mensen zijn die dat als heling of medeplichtigheid beschouwen, maar bedenk een paar dingen. Ten eerste verschillen wetten van land tot land, en kan je wat je in een Nederlands wetsartikel leest niet zomaar op de hele wereld projecteren. Ten tweede ligt het vaak veel genuanceerder dan een enkel wetsartikel lijkt aan te geven; zo mogen journalisten vaak best ver gaan in hun onderzoeken omdat journalistiek een belangrijk maatschappelijk doel dient - en dat kan ook gelden voor andere dingen die een belangrijk maatschappelijk doel dienen. Ten derde valt op dat Troy Hunt met haveibeenpwned.com internationale bekendheid geniet en dat als je op zoek gaat naar juristen die wat hij doet als crimineel beschouwen (en dat heb ik een paar keer geprobeerd naar aanleiding van mensen die vonden dat hij subversief bezig was) het opvallende resultaat is dat internationaal de overheersende mening is dat er niets mis is met wat hij doet en dat het zelfs nuttig is. Als juristen daar kennelijk in het algemeen zo over denken zit het er dik in dat je redenatie waarom het illegaal is iets belangrijks overslaat, en dat is een reden om je af te vragen of je daar wel gelijk in hebt.
Reageer met quote
02-03-2021, 09:39 door Anoniem
Privacy bestaat niet. Hoe komen IP-pakketjes anders op de juiste plek terecht? Exact, en gelukkig maar.
Reageer met quote
02-03-2021, 09:49 door Anoniem
Als haveibeenpwned.com echt niet wilde dat ingetikte mail adressen meteen ook in een database terecht kwamen dan zou hij natuurlijk het ingetikte mail adres in een javascript in de browser kunnen hashen en alleen die hash opsturen naar de site. En dan in zijn database ook de hashes van de mail adressen opnemen.
Echter dat doet ie niet. Het ingetikte mail adres komt ook terug in de reply dus dat heeft ie in handen, en het is vast ook gelogd.
Ik geloof niet zo in die "robin hood" figuren op internet. Je kunt op afstand toch niet zien wat er in hen omgaat en je kunt ook niet uitsluiten dat gegevens die ze niet hadden willen publiceren op een gegeven moment toch uitlekken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

CoronaCheck app voor toegang tot sociale activiteiten:

0 reacties
Aantal stemmen: 57
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer
Certified Secure LIVE Online training
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

20 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter