Cyberghostvpn.com bietet kostengünstige VPN auf der ganzen Welt an. Dabei verspricht CyberGhostVPN größst möglichen Schutz und absolute Anonymität.
Die Anonymität wird größtenteils durch das Vertrauen in das Unternehmen möglich. So behaupten viele Dienste in der Braunche die IP-Adressen nicht zu protokollieren und die Sicherheit der Kunden besonders gut zu wahren. Eben dieses Grundvertrauen wollten wir überprüfen und haben deshalb die Webseite von CyberGhostVPN auf Sicherheitslücken untersucht.
Wir fanden nach einiger Zeit mehrere kritische Cross Site-Scripting Lücken.
Mit einer solchen Lücke könnten Kriminelle Phishingseiten erstellen und somit Passwörter der Benutzer stehlen oder direkt über den Cookie- bzw. Session-Klau die Identität der Benutzer annehmen.
Zwei der drei gefundendenen Lücken waren erscheckenderweise in den Eingabefeldern der Anmelden- bzw. Passwortwiederherstellen-Seiten. Ein solcher Fehler wird durch vergessenes maskieren der entsprechenden Parameter verursacht. Solche einfachen Fehler, gerade im Hauptbereich der Seite, hätten wir nicht erwartet. Die dritte Schwachstelle fanden wir in dem öffentlichen Webproxy des Anbieters, welcher recht beliebt ist und häufig von Leuten benutzt wird, um beispielsweise die Ländersperre von Youtube zu umgehen.
Nachdem wir Sonntagabend (05.08.2012) eine Email an den Support des Unternehmens, welches Ihren Sitz in Rumänien hat, geschrieben haben, erhielten wir überraschenderweise am Montagmorgen schon eine Antwort, dass alles behoben sei und dass man die eigene Webseite einem ausführlicheren Security Audit unterziehen werde.
Eine solch schnelle Behebung liegt nur äußerst selten vor, absolut vorbildlich, man kann merken, dass CyberGhostVPN die Sicherheit der Kunden wirklich ernst nimmt. Auch der angekündigte Security Audit lässt uns hoffen, dass wir dort so schnell keine Email mehr hinschicken müssen. Wir freuen uns, wenn wir so Anbieter sensibilisieren können. Das ist ein Teil unserer grundsätzlichen Idee hinter der Internetwache.
Wir bedanken uns für diese schnelle Behebung der Sicherheitslücken und freuen uns das Internet wieder einmal ein Stück sicherer gemacht zu haben. Viel Spaß beim sicheren Surfen, nun auch wieder mit CyberGhostVPN.com.
Das Team der Internetwache.org
Screenshots
