Hola, uno dei più popolari servizi online per la visualizzazione di video e spettacoli televisivi bloccati da altri paesi, ha trasformato i suoi utenti in una botnet a loro insaputa. Il software, che è disponibile come plugin per il browser Chrome su desktop e dispositivi mobili, era stato precedentemente lodato per offrire un servizio facile da usare e gratuito. Tuttavia, sembra che l’azienda abbia venduto discretamente le “risorse inattive” degli utenti (cioè la loro larghezza di banda) attraverso un marchio separato Luminati, permettendo a chiunque di acquistare traffico all’ingrosso e reindirizzarlo a un sito bersaglio come un attacco denial-of-service. Essenzialmente, gli utenti di Hola sono stati mercenari inconsapevoli in una botnet a noleggio.
Il problema è venuto alla luce dopo che il moderatore del controverso forum 8chan – un off-shoot di 4chan che è stato criticato per agire come una “rete pedofila attiva” – ha riferito che il sito era stato il bersaglio di molteplici attacchi DoS dalla rete di Hola. “Recentemente … si sono resi conto che fondamentalmente hanno una botnet di 9 milioni di IP forti sulle loro mani, e hanno iniziato a vendere l’accesso a questa botnet”, dice una nota sul sito. “Un attaccante ha usato la rete Luminati per inviare migliaia di legittimi in 30 secondi, che rappresentano un picco di 100x sul traffico di picco.”
Hola è in grado di agire come una botnet per la stessa ragione che il suo servizio è gratuito: non fornisce la propria larghezza di banda o server, ma semplicemente reindirizza quella dei suoi utenti. La maggior parte delle reti private virtuali (VPN) hanno i loro server sparsi in tutto il mondo, incanalando la connessione internet di un utente attraverso questi in modo che sembri provenire da un paese diverso. Questo permette ad un utente in Francia, per esempio, di guardare spettacoli televisivi geobloccati dagli Stati Uniti. Hola, tuttavia, opera come una VPN peer-to-peer, instradando le connessioni degli utenti attraverso i dispositivi degli altri come una gigantesca centrale telefonica. Hola fa soldi vendendo la larghezza di banda inattiva dai suoi utenti gratuiti sotto il marchio Luminati. Gli utenti che non vogliono contribuire con la loro larghezza di banda devono pagare 5 dollari al mese, spiega la FAQ del sito.
Il fondatore di Hola, Ofer Vilenski, ha detto che il sito ha “sempre reso chiaro” come funziona questo modello di business, ma gli utenti di Hola sembrano essere stati quasi universalmente ignari che la loro larghezza di banda è stata venduta. Un thread su Reddit che discute la notizia è pieno di commentatori che esprimono la loro indignazione e sorpresa. “L’ho avuto per anni”, scrive un commentatore, “cazzo sa chi ha usato la mia connessione internet! E per cosa?!” Anche gli utenti che potrebbero essersi presi il tempo di leggere le FAQ di Hola potrebbero essere stati fuorviati – TorrentFreak sostiene che il sito ha aggiunto “solo di recente” dettagli che spiegano il ruolo del servizio Luminati al suo sito.
La preoccupazione di alcuni utenti non è solo che Hola stia prosciugando la loro larghezza di banda, ma che la loro connessione possa essere stata utilizzata per scopi illegali – accedendo a qualsiasi cosa, da contenuti protetti da copyright a immagini di abusi su minori. Nel caso del DoS contro 8chan, Vilenski di Hola ha detto che l’attaccante “avrebbe potuto usare qualsiasi rete VPN commerciale, ma ha scelto di farlo con la nostra” e ora ha avuto il suo account “terminato”. I milioni di utenti di Hola, però, potrebbero non essere confortati da questa notizia. Al momento della scrittura, l’azienda non ha risposto alla richiesta di commento di The Verge.