Trend Micro waarschuwt de gebruikers van de populaire gratis virtual private network (VPN) aanbieder HolaVPN dat ze beter kunnen stoppen met de dienst. Deze bevat volgens de beveiligingsfirma een aantal onacceptabele veiligheidsrisico’s die vele miljoenen gebruikers in gevaar brengen.

HolaVPN werd in de loop van 2007 opgericht en werd toentertijd gepitcht als een ‘community’ peer-to-peer VPN-dienst. Gebruikers zijn daarin exit points voor andere gebruikers. Hoeveel er daar precies van zijn is niet bekend, al is de Android-app al meer dan tien miljoen keer gedownload. Schattingen van het aantal gebruikers lopen uiteen van 10 tot 175 miljoen.

Gevaarlijkste VPN

Hoe dan ook, loopt elk van de gebruikers risico. De gegevens die via HolaVPN verzonden worden, zijn volgens de onderzoekers van Trend Micro niet versleuteld. Dat betekent dat het erg eenvoudig is om ze te onderscheppen. Dat HolaVPN geld verdient door toegang tot zijn VPN-netwerk te verkopen, betekent ook meteen dat de computers en smartphones van gebruikers mogelijk gebruikt zijn in een botnet of voor spamcampagnes.

Gebruikers van HolaVPN zijn niet alleen blootgesteld aan privacy- en malwarerisico’s, maar kregen ook te maken met een boel verschillende irritante en mogelijk misleidende berichten van Luminati, het moederbedrijf van de dienst. Ray Wals, privacyexpert bij BestVPN.com, vertelt aan de site Silicon Angle dat de beslissing van Trend Micro om HolaVPN aan te duiden als malware “een stap in de goede richting is voor zijn gebruikers”. “De risico’s die HolaVPN voor zijn gebruikers vormt zijn ernstig, want HolaVPN wordt met reden gezien als de meest gevaarlijke VPN van de wereld.”

Geen privacy

Doordat de data niet versleuteld worden, hebben gebruikers onterecht een gevoel van veiligheid. “Privacy bestaat niet binnen HolaVPN, wat betekent dat consumenten geen van de voordelen krijgen die een VPN zou moeten bieden. Daar komt bij dat gebruikers door hun computer open te stellen voor andere HolaVPN-gebruikers, hun IP-adres mogelijk openstellen voor cybercriminelen, hackers en erger.”

Walsh merkt tot slot op dat HolaVPN volgens zijn privacybeleid de gegevens en browsegewoontes van gebruikers bijhoudt en verkoopt. Daarnaast verkoopt het bedrijf de e-mailadressen van zijn klanten aan adverteerders. “Hola bleek zowel te maken te hebben met DNS- en WebRTC-lekken”.