Cyando AG betreibt VPN Service 3Monkey.me
Der Betreiber von Uploaded.to, die Cyando AG möchte nun auch mit einem VPN Service Geld verdienen. Dabei scheinen sie keinen allzu großen Wert auf Sicherheit zu legen: Nach meiner Anmeldung wurde mir mein Passwort im Klartext angezeigt und es ist auch im Klartext im Account hinterlegt. Das Kann nur bedeuten, dass die Passwörter nicht gehasht werden und die Seitenbetreiber die Passwörter einsehen können. Bei einem Datenverlust (z.b. durch einen Hackerangriff) wären dann die Passwörter durch den Angreifer direkt einsehbar. Für einen Betreiber der sich der Sicherheit verschrieben hat ist dieses Vorgehen desaströs. Deshalb meine Warnung: legt euch keinen Account bei 3Monkey.me an wenn ihr euer Passwort schützen wollt oder verwendet wenigstens ein „dummy“ Passwort das ihr auf keiner anderen Seite verwendet. Um Stellungnahme bei Cyando habe ich gebeten. Sobald diese Vorliegt werde ich sie hier veröffentlichen.
Update
Die Antwort von Cyando zu dem Passwort im Klartext:
„Bei der Planung und Implementierung unseres VPN Dienstes haben wir sowohl Sicherheit als auch
Benutzerfreundlichkeit in Betracht gezogen. Leider benötigt die für PPTP und L2TP Protokolle
verwendete Authentifizierung (MSCHAPv2) plain text Passwörter. Deshalb speichert jeder VPN
Provider
der diese Protokolle anbietet die Passwörter ausnahmslos in plain text, ob diese nun durch die
Webseite einsehbar sind oder nicht. Es gibt zwar kompliziertere Protokolle die keine Passwörter
benötigen (z.B. EAP-TLS), diese sind aber für die meisten Kunden unzumutbar kompliziert zu
konfigurieren.
Genau aus diesem Grund haben wir in den ersten Monaten für 3monkey.me zwei Passwörter
verwendet: Das Webseiten-Passwort mit starker Verschlüsselung und ein VPN Passwort ohne
Verschlüsselung. Leider erwies sich auch dies als zu umständlich. Die meisten Kunden wollten
ihr Passwort selber setzen können, deshalb wird jetzt beim Ändern des Webseiten-Passworts
gleichzeitig auch das VPN Passwort synchronisiert.“