Nieuws

Vpn-dienst IPVanish verstrekte loggegevens aan autoriteiten VS

donderdag 7 juni 2018, 12:57 door Redactie, 17 reacties

Vpn-dienst IPVanish, die zegt geen loggegevens op te slaan, heeft in 2016 loggegevens van een gebruiker aan de Amerikaanse autoriteiten overhandigd. Een agent van het Amerikaanse ministerie van Binnenlandse Zaken was in dat jaar bezig met een onderzoek toen hij op een ip-adres van Highwinds stuitte.

Highwinds was het moederbedrijf van IPVanish en bevestigde tegenover de agent dat het ip-adres van de vpn-dienst was. In eerste instantie vertelde Highwinds dat het geen gebruikersgegevens logde en er daarom geen informatie met betrekking tot het opgegeven ip-adres kon worden verstrekt. Nadat de agent Highwinds opnieuw had benaderd suggereerde het bedrijf dat hij een nieuw verzoek moest indienen, waarin om meer gebruikersgegevens werden gevraagd.

Nadat dit verzoek binnenkwam overhandigde Highwinds informatie waardoor de agent de verdachte kon identificeren die met de vpn-dienst verbinding maakte. Ook gaf Highwinds de naam van de verdachte, zijn e-mailadres en details over zijn vpn-abonnement. De ontdekking van de gerechtelijke documenten zorgde voor ophef op Reddit, aangezien IPVanish altijd claimde dat het geen gebruikersgegevens logt.

IPVanish werd vorig jaar door het bedrijf StackPath overgenomen. In een reactie tegenover TorrentFreak zegt StackPath dat het geen loggegevens van gebruikers opslaat en het niet kan reageren op wat er onder het vorige management plaatsvond. Verder verklaart de directeur van StackPath dat er bij de overname geen logs zijn aangetroffen. "We kunnen alleen vermoeden dat dit een eenmalig bevel van de autoriteiten was. Op geen enkel niveau hebben we een verleden van logging kunnen vinden", aldus directeur Lance Crosby.

Het is niet de eerste keer dat een vpn-aanbieder op deze manier in het nieuws komt. Vorig jaar werd bekend dat PureVPN logbestanden aan de FBI had overhandigd en eerder bleek vpn-provider HideMyAss! de FBI te hebben geholpen.

Adobe-noodpatch voor actief aangevallen lek in Flash Player

Foscam-camera's door beveiligingslek op afstand over te nemen

Reacties (17)

07-06-2018, 13:05 door MathFox

Het verhaal suggereert dat IPVanish op verzoek van de FBI een van haar gebruikers geïdentificeerd heeft, waarschijnlijk op basis van het netwerkverkeer. IPVanish heeft waarschijnlijk tijdelijk een netwerktap gezet.

07-06-2018, 13:34 door Anoniem

Zo heeft het in Nederland nooit gewerkt. Ik heb zelf verschillende gevallen meegemaakt van verzoeken om informatie. Zonder dat ik privacy gevoelige data kreeg, werd me wel de ernst uitgelegd en volgde altijd netjes op papier een verzoek van het OM. Soms in de vorm van een "dringend beroep op medewerking". Zo ging het eens om een moord. De dader (of tuurlijk op zo een moment nog verdachte), was nooit bij mij online geweest. Het slachtoffer echter wel. En daar kon ik wat achtergrond informatie over achterhalen. Iemand die vermoord is kun je natuurlijk geen toestemming meer vragen, maar dan gaat toch wel je geweten spreken. Ik zou het zo weer doorgeven. Het enig verschil is dat dat met de GDPR nog zorgvuldiger moet gebeuren. Die moord is trouwens opgelost.

Maar zomaar de deur openzetten voor autoriteiten? Toen niet, nu ook niet. Een pet is niet genoeg. Bij lange na niet.

07-06-2018, 13:45 door Anoniem

dit is de reden dat je tor gebruikt ipv, vpns zijn voor privacy tegen ads, niet voor anonimiteit

07-06-2018, 13:53 door Anoniem

Ik heb al jaren en jaren IPVANISH.. maar denk dat ik dit abonnement dit jaar toch maar niet verleng.. je kan me niet vertellen dat wanneer je geen log bestanden maakt je daar dan toch in overgaat op verzoek van FBI.. (mits terroristen en CP servers/gebruikers mogen aan het gas) maar dit is slecht nieuws.. weet er niet veel van maar genoeg om te weten dat dit vast vaker zal gebeuren.. helaas niemand spreekt de waarheid of houd zich aan zijn eigen voorwaarden..

07-06-2018, 13:57 door Anoniem

Dus nooit dingen doen via een VPN, die oppassende mensen niet zouden doen.
Anderzijds is transparantie in deze ook goed.

Erger zou zijn, dat er taps worden gezet en niemand weet ervan.
Erger is als er ook onschuldige visjes in een sleepnet belanden en worden aangeland.
Erger is als er met de botte bijl wordt gewerkt en takken en splinters je om de oren vliegen.
Gerichte actie bij ernstig verdenken is prima, het kan niet genoeg gebeuren.

Do not do the crime, if you cannot do the time.

Jodocus Oyevaer

07-06-2018, 14:04 door Anoniem

Door MathFox: Het verhaal suggereert dat IPVanish op verzoek van de FBI een van haar gebruikers geïdentificeerd heeft, waarschijnlijk op basis van het netwerkverkeer. IPVanish heeft waarschijnlijk tijdelijk een netwerktap gezet.

Wat een onzin, gewoon een 'goedpratertje' voor het feit dat IPVanish net als ALLE andere vpn diensten gewoon loggen en om klandizie te krijgen adverteren ze dat ze niet loggen omdat de klant dat nou eenmaal wilt. Ik durf erom te wedden dat het merendeel klanten die vpn diensten afnemen van een 'niet-loggende' vpn gewoon afgaan op wat ze ooit gehoord of gelezen hebben dat ze een VPN dienst moeten nemen die niet logt.
Daarom biedt elke vpn dienst een zg 'geen-log' policy aan om deze zieltjes te werven.

Neem nou maar gewoon een vpn dienst en ga er maar vanuit dat ze 100% loggen.
Doen ze dit niet en kunnen ze de instanties geen gegevens overhandigen dan gaan de instanties over tot draconische maatregelen zoals Rusland en China al gedaan hebben, gewoon keihard verbod van VPN.

07-06-2018, 14:07 door Anoniem

Door MathFox: IPVanish heeft waarschijnlijk tijdelijk een netwerktap gezet.

Dat zou best kunnen. Maar dan nog is het wel zaak daar openheid over te geven. En dat doen ze dan weer net niet.

07-06-2018, 15:14 door Anoniem

Tja sommige vpnproviders,moeten wel logs afstaan bij een gerechtelijk bevel. Sommige dingen loggen ze dus toch. Mogelijk wordt de gelogde data dan na een aantal weken vernietigd,zodat ze zo min mogelijk gegevens af staan. Mochten ze al gewist zijn. Als ze al gewist zijn met een bepaalde kwestie dan kunnen ze dat inderdaad niet overhandigen aan de overheid.

08-06-2018, 05:14 door foxonsafari

VPS is alleen maar een verdienmodel, met een wassen neus.

Wie trapt daar anno 2018 nog in?!

08-06-2018, 10:53 door Anoniem

Wie trapt daar anno 2018 nog in?!

Zolang online aanbieders zoals Netflix nog aan locatiediscriminatie doen, zullen VPN verbindingen worden verkocht.

08-06-2018, 12:13 door Anoniem

Een VPN gebruiken is prima, je mag er zelfs meerdere achter elkaar zetten, maar alleen op een VPN vertrouwen is nooit verstandig. Gebruik dan ook TOR of iets anders.

Bovendien als jij een verbinding vanaf je thuis IP met een VPN aanbieder opbouwt weten ze dus je echte IP en als je betaald met reguliere middelen is je identiteit meteen ook bekend bij die VPN aanbieder.

Je moet goed onthouden dat elke VPN aanbieder die een verzoek van de overheid of OM krijgt vrijwel meteen mee werkt omdat ze hun bedrijfsvoering niet in gevaar gaan brengen voor een klant die misschien 10 euro per maand betaald. Ze zullen vast geen logs bijhouden van een jaar geleden maar dat betekend niet dat ze niet op verzoeken kunnen loggen en die informatie kunnen doorspelen aan de overheid. En inderdaad zal de overheid of OM altijd zeggen dat het om een ernstige zaak gaat ook al is het totaal niet het geval. De overheid/om liegt nu eenmaal en dat is een feit.

Kortom alleen 1 VPN gebruiken is nog steeds onveilig, echter als je zelf volledig anoniem 20 VPSjes huurt, overal een OPENVPN server installeert en 5x de wereld rondgaat en dat combineert met een paar VPN aanbieders gaan ze toch een behoorlijke klus hebben om je te vinden, als 1 schakel niet mee werkt of er geen gegevens zijn kunnen ze het vergeten.

08-06-2018, 12:36 door SPer

Door Anoniem: Zo heeft het in Nederland nooit gewerkt. Ik heb zelf verschillende gevallen meegemaakt van verzoeken om informatie. Zonder dat ik privacy gevoelige data kreeg, werd me wel de ernst uitgelegd en volgde altijd netjes op papier een verzoek van het OM. Soms in de vorm van een "dringend beroep op medewerking". Zo ging het eens om een moord. De dader (of tuurlijk op zo een moment nog verdachte), was nooit bij mij online geweest. Het slachtoffer echter wel. En daar kon ik wat achtergrond informatie over achterhalen. Iemand die vermoord is kun je natuurlijk geen toestemming meer vragen, maar dan gaat toch wel je geweten spreken. Ik zou het zo weer doorgeven. Het enig verschil is dat dat met de GDPR nog zorgvuldiger moet gebeuren. Die moord is trouwens opgelost.

Maar zomaar de deur openzetten voor autoriteiten? Toen niet, nu ook niet. Een pet is niet genoeg. Bij lange na niet.

Hoe dan ook als je zegt dat je niet logt moet je ook niet loggen, bij een vermoord persoon kun je geen tap opzetten omdat die gene geen gebruik meer gaat maken van de VPN service. dus mijn conclusie is dat er gelogt werd toe de betreffende gebruiker nog leefde .

08-06-2018, 13:32 door Anoniem

Door Anoniem:Het slachtoffer echter wel. En daar kon ik wat achtergrond informatie over achterhalen. Iemand die vermoord is kun je natuurlijk geen toestemming meer vragen, maar dan gaat toch wel je geweten spreken. Ik zou het zo weer doorgeven. Het enig verschil is dat dat met de GDPR nog zorgvuldiger moet gebeuren. Die moord is trouwens opgelost.

GDPR maakt hierbij niets uit. Een dode heeft geen privacy.

Peter

08-06-2018, 14:40 door Anoniem

Neem een VPN dienst in een land wat schijt heeft aan de Amerikanen.

08-06-2018, 16:12 door Anoniem

Zelfde verhaal met telefoons, er bestaat GEEN mobiel die niet op afstand te bedienen is door de overheid, ze kunnen microfoon op afstand aanzetten, anders mag het toestel niet verkocht worden as simple as that.
Dat is al decennia zo, vroeger in huistelefoon was er ook altijd een klein luchtkanaaltje onder de hoorn zodat de microfoon geluiden uit de omgeving kon horen.
Corruptie begint zoals altijd bij de overheid!

09-06-2018, 10:33 door katebrooks - Bijgewerkt: 09-06-2018, 10:34

Hoewel deze beide instanties het vertrouwen van gebruikers tot op zekere hoogte hebben geschaad, lijkt het erop dat PureVPN het spel heeft opgevoerd, zoals opgemerkt door comparitech https://www.comparitech.com/vpn/reviews/purevpn/ . Ik ben niet zo zeker van IPVanish

09-06-2018, 19:39 door Anoniem

@ anoniem van 13:32

Ja, dat is zo, FBI kan devices rechtmatig ontsleutelen met de vingerafdruk van een overleden eigenaar.
Niet de elegantste manier, want de lab-methode gebeurt toch in een wat "levendiger" setting.

Scammers bijvoorbeeld kiezen niet zo snel voor een VPN-dienst,
maar verbergen zich liever achter zo'n privacy guard service in Panama,
daar parkeren namelijk de grotere belastingontwijkers immers ook hun poen.

TRUST & private security online, helemaal afgekalfd en gepn*w*d fenomeen heden ten dage.
Al die jaren Home Security en sn**ping surveillance na 9-11 hebben de betrouwbaarheid van de cyber-infrastructuur
geen goed gedaan. Alles is in minder of meerdere mate door NSA en consorten & state hackers "vernaggeld".

Jodocus Oyevaer

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer