Hola, een van de populairste online diensten voor het bekijken van geblokkeerde video’s en tv-programma’s uit andere landen, heeft zijn gebruikers zonder hun medeweten in een botnet veranderd. De software, die beschikbaar is als plugin voor de Chrome-browser op desktop- en mobiele apparaten, werd eerder geprezen voor het aanbieden van een gebruiksvriendelijke en gratis dienst. Het lijkt er echter op dat het bedrijf discreet de “ongebruikte bronnen” (d.w.z. hun bandbreedte) van gebruikers heeft verkocht via een apart merk Luminati, waardoor iedereen verkeer in bulk kan kopen en omleiden naar een doelsite als een denial-of-service-aanval. In wezen zijn Hola-gebruikers ongewilde huurlingen in een botnet-voor-huur.
Het probleem kwam aan het licht nadat de moderator van het controversiële 8chan-forum – een aftakking van 4chan die wordt bekritiseerd omdat het zich gedraagt als een “actief pedofielennetwerk” – meldde dat de site het doelwit was geweest van meerdere DoS-aanvallen vanuit Hola’s netwerk. “Onlangs realiseerden ze zich dat ze in feite een 9 miljoen IP’s sterk botnet in handen hadden, en ze begonnen toegang tot dit botnet te verkopen,” zegt een notitie op de site. “Een aanvaller gebruikte het Luminati-netwerk om duizenden legitiem uitziende berichten in 30 seconden te verzenden, wat een piek van 100x over het piekverkeer vertegenwoordigt.”
Hola kan als botnet fungeren om dezelfde reden dat zijn dienst gratis is: het biedt geen eigen bandbreedte of servers, maar leidt die van zijn gebruikers eenvoudigweg om. De meeste virtuele particuliere netwerken (VPN’s) hebben hun eigen servers over de hele wereld en leiden de internetverbinding van een gebruiker via deze servers, zodat het lijkt alsof deze uit een ander land komt. Hierdoor kan een gebruiker in Frankrijk bijvoorbeeld geblokkeerde tv-programma’s uit de VS bekijken. Hola werkt echter als een peer-to-peer VPN, waarbij de verbindingen van gebruikers door elkaars apparaten worden geleid als een gigantische telefooncentrale. Hola verdient geld door ongebruikte bandbreedte van zijn gratis gebruikers te verkopen onder de merknaam Luminati. Gebruikers die hun bandbreedte niet willen afstaan, moeten 5 dollar per maand betalen, legt de FAQ van de site uit.
Hola’s oprichter Ofer Vilenski heeft gezegd dat de site “altijd duidelijk heeft gemaakt” hoe dit businessmodel werkt, maar Hola’s gebruikers lijken bijna niet op de hoogte te zijn geweest van het feit dat hun bandbreedte werd verkocht. Een thread op Reddit over het nieuws zit vol met commenters die hun verontwaardiging en verbazing uiten. “Ik heb het al jaren,” schrijft een commenter, “fuck weet wie mijn internetverbinding heeft gebruikt!!! En waarvoor?!” Zelfs gebruikers die de tijd hebben genomen om de FAQ van Hola te lezen, kunnen zijn misleid – TorrentFreak beweert dat de site “pas onlangs” details heeft toegevoegd waarin de rol van de Luminati-service wordt uitgelegd.
De zorg voor sommige gebruikers is niet alleen dat Hola hun bandbreedte heeft geleegd, maar dat hun verbinding misschien voor illegale doeleinden is gebruikt – toegang tot alles van auteursrechtelijk beschermde inhoud tot beelden van kindermisbruik. In het geval van de DoS tegen 8chan, heeft Hola’s Vilenski gezegd dat de aanvaller “elk commercieel VPN-netwerk had kunnen gebruiken, maar ervoor koos om dat met het onze te doen” en dat hun account nu “beëindigd” is. De miljoenen gebruikers van Hola zullen echter niet getroost zijn door dit nieuws. Op het moment van schrijven heeft het bedrijf nog niet gereageerd op het verzoek van The Verge om commentaar.