Er is een hoop mis met Hola

UPDATE: Een groep onderzoekers die de app van Hola heeft bekeken, zegt bewijs te hebben dat de app niet alleen haar gebruikers voor de gek houdt, maar ze ook kwetsbaar maakt voor hackers en trackers.

Recentelijk plaatste een bekende spammer die bekend staat onder de naam Bui meer dan duizend spamberichten op een paar van de fora van 8chan, een populair anoniem imageboard.

Tegen ons zegt Bui dat hij het voornamelijk deed "voor de lol" en "om te verstoren." Maar uiteindelijk zorgde hij er wel voor dat de site enkele minuten uit de lucht ging. Volgens de beheerders van 8chan zijn de 1474 spamberichten die Bui plaatste vergelijkbaar met een denial-of-service-aanval.

Dit ogenschijnlijk onbenullige voorval legt bloot dat miljoenen gebruikers van de populaire VPN-dienst Hola worden verkocht als exit-nodes voor een privénetwerk. Hierdoor kunnen de IP-adressen van gebruikers, zonder dat zij daar erg in hebben, gebruikt zijn voor illegale activiteiten.

Bui maakte voor zijn aanval gebruik Luminati, een betaalde dienst die door de makers ooit werd omschreven als een grotere en snellere versie van Tor die ook nog de anonimiteit beter bewaakt. De dienst werkt op basis van "miljoenen" exit-nodes.

Op de vage website van Luminati is alleen helemaal niets te lezen over waar de nodes vandaan komen. Het blijkt dat de nodes in werkelijkheid onwetende gebruikers van de gratis VPN-dienst Hola zijn. De app wordt door miljoenen mensen gebruikt om locatiebeperkingen van bijvoorbeeld Netflix te omzeilen. Luminati is eigendom van Hola Networks.

In de praktijk komt het erop neer dat, als je de gratis versie van Hola gebruikt, je verbinding kan worden verkocht als een exit-node voor het netwerk van Luminati. Met andere woorden, gebruikers van Luminati betalen om gebruik te maken van jouw internetverbinding, terwijl jij er helemaal niet voor terug krijgt. Sterker nog, het wordt je niet eens verteld.

Dit was allemaal nog niet algemeen bekend, totdat 8chan naar buiten bracht dat de site uit de lucht was gehaald met gebruik van Luminati en Hola. De makers van Hola hebben hier, tot vorige week, nooit iets over in het openbaar gezegd.

"We kunnen [Hola] gratis aanbieden, omdat de gebruikers ook exit-nodes zijn voor andere gebruikers," aldus Ofer Vilenski, medeoprichter van Hola.

Het gebrek aan transparantie van de kant van Hola was duidelijk op hun website te zien.

Op de FAQ van Hola stond tot afgelopen woensdag helemaal niets over Luminati, dat blijkt uit verschillende gearchiveerde webpagina's van de FAQ. De pagina werd aangepast nadat het schandaal bekend werd via Reddit en Twitter en nadat ik contact met ze opnam om te controleren of de beschuldigingen juist waren.

Volgens Vilenski legde de website het wel goed uit, maar "in een andere vorm." Hij verwijst naar de volgende passage in de FAQ: "als je Hola voor commerciele doeleinden wil gebruiken, mail dan voor een offerte naar business@hola.org."

Toch geeft Vilenski toe dat de meeste gebruikers waarschijnlijk niet wisten wat er aan de hand was.

"Weten 100 procent van alle gebruikers ook dat zij op een peer-to-peernetwerk zitten? En weten zij precies wat dat betekent?" zegt hij tegen mij aan de telefoon. "Het antwoord is nee. Niet omdat we het voor ze verborgen houden, want we vertellen het wel degelijk. De meeste gebruikers maakt het gewoonweg niets uit. Ze willen een goede dienst, die goed werkt, en waardoor ze niet worden opgelicht."

Hij heeft misschien gelijk dat de meeste gebruikers van Hola geen idee hebben hoe het precies werkt.

"Wat?! Vreeselijk!" zei een gebruiker van Hola tegen mij toen ik haar vroeg of ze wist dat andere mensen via Hola haar verbinding konden gebruiken en dat een ander bedrijf er geld aan verdient. "I had geen idee. […] WFT, ik ga het METEEN verwijderen."

Als een exit-node in een netwerk dat lijkt op Tor, lopen de gebruikers van Hola dezelfde risico's als de beheerders van het Tornetwerk. Hun verbinding kan door anderen misbruikt worden, door er bijvoorbeeld kinderporno of ander illegal material mee te downloaden. Voor de politie zal het dan lijken alsof de nietswetende Holagebruiker een misdrijf heeft begaan, omdat zijn of haar IP-adres er mee in verband wordt gebracht.

"Als het werkt zoals het wordt uitgelegd, is het een slecht idee om het te gaan gebruiken," dat zegt Rapael Vinot, die onderzoek doet naar beveiliging. "Je zal uiteindelijk verantwoordelijk zijn voor wat anderen met jouw verbinding doen."

Zelfs Tor Project, de organisatie achter het Tornetwerk, raadt het af om thuis een exit-node op te zetten, gezien de juridische risico's. Beheerders van een exit-node van Tor lopen het risico om te maken te krijgen met een politie-inval zodra hun nodes voor illegale activiteiten worden gebruikt. De miljoenen gebruikers van Hola—volgens Vilenski zijn dat er 46 miljoen—zijn exit-nodes voor Luminati, waarschijnlijk zonder dat ze dat doorhebben.

Vilenski geeft aan dat zijn bedrijf geen illegale activiteiten via het netwerk van Luminati toestaat. De acount van Bui is verwijderd na het incident op 8chan.

"We letten er heel erg op dat mensen ons netwerk niet misbruiken," zegt hij en hij voegt toe dat het "erg dom" zou zijn om het netwerk voor criminele praktijken te gebruiken. (Het is de moeite waard om te vermelden dat de oude FAQ van Hola niet vermeldde dat het een "beheerd en bewaakt" netwerk is. Dat maakt het netwerk niet echt geschikt voor criminelen.)

Toch, toen een beveiligingsonderzoeker zich voordeed als een potentiele klant voor Luminati kreeg hij te horen dat het bedrijf "simpelweg een proxyplatform aanbiedt en het helemaal aan de klant is wat hij er mee doet." Het bedrijf zegt ook "geen idee te hebben wat klanten op het platform doen." Deze informatie werd gegeven in een chatgesprek tussen Luminati en een beveiligingsonderzoeker die anoniem wil blijven, maar de chatlogs wel met ons deelde.

Tegelijkertijd is Luminati gestopt met hun netwerk te omschrijven als "'s werelds grootste anonieme netwerk," zoals dat vorige week nog wel op de site stond. Het is nu een "VPN-netwerk" en de woorden "anoniem" en "anonimiteit" zijn van de website verdwenen.

"Het komt erop neer dat ze nog aan het zoeken zijn naar hoe ze hun bedrijf winstgevend kunnen maken," zegt Adam Fisk, de oprichter van Lantern, een website waarmee gebruikers proxies kunnen worden voor mensen in landen met internetcensuur. "En eigenlijk verkopen ze hun gebruikers om daarachter te komen."

Internetexpert Vinot omschrijft Luminati als "een interessant businessmodel."

"Eerlijk gezegd," zegt hij, "is deze mate van bedrog ook een kunst."