Cyando AG betreibt VPN Service 3Monkey.me

3monkey logo

Der Betreiber von Uploaded.to, die Cyando AG möchte nun auch mit einem VPN Service Geld verdienen. Dabei scheinen sie keinen allzu großen Wert auf Sicherheit zu legen: Nach meiner Anmeldung wurde mir mein Passwort im Klartext angezeigt und es ist auch im Klartext im Account hinterlegt. Das Kann nur bedeuten, dass die Passwörter nicht gehasht werden und die Seitenbetreiber die Passwörter einsehen können. Bei einem Datenverlust (z.b. durch einen Hackerangriff) wären dann die Passwörter durch den Angreifer direkt einsehbar. 3monkey_credFür einen Betreiber der sich der Sicherheit verschrieben hat ist dieses Vorgehen desaströs. Deshalb meine Warnung: legt euch keinen Account bei 3Monkey.me an wenn ihr euer Passwort schützen wollt oder verwendet wenigstens ein „dummy“ Passwort das ihr auf keiner anderen Seite verwendet. Um Stellungnahme bei Cyando habe ich gebeten. Sobald diese Vorliegt werde ich sie hier veröffentlichen.

 

Impressum Uploaded.to

uploaded impressum

 

 

 

 

 

 

 

 

 

 

Impressum 3Monkey.me

3monkey impressum

 

 Update

Die Antwort von Cyando zu dem Passwort im Klartext:

„Bei der Planung und Implementierung unseres VPN Dienstes haben wir sowohl Sicherheit als auch 
Benutzerfreundlichkeit in Betracht gezogen. Leider benötigt die für PPTP und L2TP Protokolle 
verwendete Authentifizierung (MSCHAPv2) plain text Passwörter. Deshalb speichert jeder VPN 
Provider 
der diese Protokolle anbietet die Passwörter ausnahmslos in plain text, ob diese nun durch die 
Webseite einsehbar sind oder nicht. Es gibt zwar kompliziertere Protokolle die keine Passwörter 
benötigen (z.B. EAP-TLS), diese sind aber für die meisten Kunden unzumutbar kompliziert zu 
konfigurieren.

Genau aus diesem Grund haben wir in den ersten Monaten für 3monkey.me zwei Passwörter 
verwendet: Das Webseiten-Passwort mit starker Verschlüsselung und ein VPN Passwort ohne 
Verschlüsselung. Leider erwies sich auch dies als zu umständlich. Die meisten Kunden wollten 
ihr Passwort selber setzen können, deshalb wird jetzt beim Ändern des Webseiten-Passworts 
gleichzeitig auch das VPN Passwort synchronisiert.“

 

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen