FYI.

This story is over 5 years old.

Tecnologia

​Aquela Ferramenta para Acessar o Netflix Gringo Está Roubando sua Conexão

Se você usa a rede privada Hola, sua conexão pode estar sendo usada e comercializada por outros.

No sábado, um spammer conhecido como "Bui" postou 1474 vezes em algumas das seções do 8chan, um fórum anônimo de imagens bastante popular na internet, e derrubou o site por alguns minutos. Ele nos falou que fez "só pela zoeira".

O curioso desse incidente é que revelou algo que ninguém sabia: milhões de usuários de um popular serviço de VPN gratuito chamado Hola estão sendo vendidos como pontos de saída em uma rede privada e, ao que tudo indica, permitindo que suas conexões e IPs fiquem sujeitos ao envolvimento em atividades ilegais.

Publicidade

O ataque de Bui foi possibilitado por um serviço pago chamado Luminati, que era descrito até pouco tempo como uma versão "maior, mais rápida e mais anônima" do serviço de navegação anônima Tor, com "milhões" de pontos de saída. O que o vago site do Luminati não explica é de onde esses pontos vêm.

No final das contas, agora sabemos, os tais pontos são usuários incautos do Hola, aplicativo usado por milhões de pessoas que fogem de travas regionais para, por exemplo, assistir ao conteúdo do Netflix de outros países. O Luminati é propriedade da Hola Networks.

Se você usa a versão gratuita do Hola, sua conexão pode ser vendida como ponto de saída por meio do Luminati

Na prática, se você usa a versão gratuita do Hola, sua conexão pode ser vendida como ponto de saída por meio do Luminati. Em outras palavras, sua conexão pode ser comprada e reusada pelo Luminati, transformando você e outros usuários do Hola em um ponto daquilo que pode ser descrito como botnet voluntário.

O fato não era de amplo conhecimento até o 8chan divulgar que o Luminati e Hola costumavam fazer spam para derrubar site. E é algo que os criadores do Hola nunca divulgaram abertamente até esta semana.

"Podemos fornecer o Hola gratuitamente já que cada usuário serve de ponto de saída para outros usuários", declarou ao Motherboard nesta quinta-feira Ofer Vilenski, co-fundador do Hola.

A falta de transparência na forma como o Hola vendia a conexão de seus usuários ficou evidente em seu site também. O FAQ presente na página não mencionava o Luminati até esta quinta, de acordo com várias páginas arquivadas do mesmo. A página foi suspensa após a acusação do 8chan ter ganho algum fôlego no Reddit e Twitter, e depois de abordarmos o Hola para esclarecer a veracidade da acusação.

Publicidade

"Podemos fornecer o Hola gratuitamente já que cada usuário serve de ponto de saída para outros usuários."

Vilenski afirmou que a explicação "estava presente de outra forma" e se referiu ao antigo FAQ que dizia: "caso queira usar o Hola para fins comerciais, envie um email para business@hola.org para um orçamento".

Ainda assim, o próprio Vilenski admitiu que a maioria dos usuários não tinha ideia do ocorrido.

"Se 100% dos usuários sabem fazer parte de uma rede peer-to-peer?", disse ao telefone. "A resposta é não. Não porque estamos encobrindo, tentando esconder isso, mas porque a maioria não liga, só querem um bom serviço, que funcione bem e não os sacaneie".

Talvez ele esteja certo: a grande parte não sabe bem como o Hola funciona de verdade.

"O que??? Que horror!", me disse uma usuária, via chat, quando perguntei se ela sabia que o Hola permite que outros usuários usem sua conexão quando ociosa e que a mesma pode ser vendida por meio de outro serviço. "Eu não fazia ideia. Que diabos, vou deletar tudo agora."

Ao funcionar como um ponto de saída em uma rede semelhante ao Tor, os usuários estão expostos aos mesmos riscos que os operadores do Tor. Sua conexão pode ser usada por terceiros, distribuindo pornografia infantil ou baixando material ilícito, por exemplo. Para as autoridades, pareceria que o usuário inocente do Hola seria o responsável, já que os atos estariam associados ao seu IP.

Publicidade

"Se funciona da forma como foi explicado, usá-lo é uma péssima ideia", afirmou ao Motherboard Raphael Vinot, pesquisador da área de segurança. "Porque você acaba responsabilizado por seja lá o que for que os outros usuários do serviço estão fazendo."

No caso de pontos de saída do Tor, o próprio Projeto Tor aconselha que não se opere um destes de casa, levando em conta os riscos legais. Como relatado anteriormente pelo Motherboard, os operadores desses pontos podem sofrer ação policial e até mesmo parar na cadeia caso seus pontos estejam envolvidos em atividades ilegais.

Ao combinar Hola e Luminati, milhões de usuários (Vilenski afirma serem 46 milhões de instalações do aplicativo) atuam como pontos de saída, provavelmente sem saber.

Vilenski me disse que não permitem que usuários do Luminati façam nada de ilegal e que a conta de Bui foi suspensa depois do incidente com o 8chan.

"Levamos muito a sério o mau uso de nossa rede", disse, comentando que seria "idiota" usá-la para fins criminosos. (Vale mencionar que o antigo FAQ não mencionava que o Hola era uma rede "administrada e supervisada" e, assim sendo, não é bem um paraíso para criminosos que querem se manter anônimos.)

"Eles vendem seus usuários para tentar um negócio lucrativo."

Mesmo assim, quando outro pesquisador de segurança se passou por um possível cliente, um representante do Luminati lhe disse que "simplesmente oferecemos uma plataforma de proxy, o que você faz com ela, é com você" e "não temos ideia do que você faz em nossa plataforma". Os chats do pesquisador, que prefere permanecer anônimo, foram todos fornecidos ao Motherboard.

Publicidade

Em meio à polêmica, o site do Luminati não descreve o serviço mais como "a maior rede de anonimato do mundo", como fazia até terça-feira. Agora é uma "rede VPN" e as palavras "anônima" ou "anonimato" sumiram do site.

"Em suma, eles estão tentando dar um jeito de tocar um negócio lucrativo", disse ao Motherboard Adam Fisk, fundador do Lantern, aplicativo que permite que as pessoas ajam como proxies para usuários em países com censura na internet. "E eles essencialmente vendem seus usuários para tentar dar um jeito nisso."

Vinot, o especialista em segurança, descreveu a situação como "um interessante modelo de negócios".

"Sinceramente", disse, "trambicagem deste nível é arte".

Tradução: Thiago "Índio" Silva