Hola, um dos mais populares serviços online para ver vídeos e programas de TV bloqueados de outros países, transformou os seus utilizadores numa botnet sem o seu conhecimento. O software, que está disponível como plugin para o navegador Chrome no ambiente de trabalho e em dispositivos móveis, tinha sido anteriormente elogiado por oferecer um serviço fácil de usar e gratuito. No entanto, parece que a empresa tem vendido discretamente os “recursos ociosos” dos utilizadores (ou seja, a sua largura de banda) através de uma marca Luminati separada, permitindo a qualquer pessoa comprar tráfego em massa e redireccioná-lo para um sítio alvo como um ataque de negação de serviço. Essencialmente, os utilizadores do Hola têm sido mercenários involuntários num botnet-for-hire.
A questão veio à luz depois do moderador do controverso fórum 8chan – um off-shoot de 4chan que tem sido criticado por agir como uma “rede pedófila activa” – relatou que o site tinha sido alvo de múltiplos ataques DoS da rede do Hola. “recentemente … aperceberam-se de que basicamente têm nas suas mãos uma rede botnet IP forte de 9 milhões, e começaram a vender o acesso a esta rede botânica”, diz uma nota no site. “Um atacante usou a rede Luminati para enviar milhares de ataques de aspecto legítimo em 30 segundos, representando um pico de 100x sobre o tráfego de pico”
Hola é capaz de agir como uma botnet pela mesma razão que o seu serviço é gratuito: não fornece a sua própria largura de banda ou servidores, mas simplesmente redirecciona a dos seus utilizadores”. A maioria das redes privadas virtuais (VPNs) têm os seus próprios servidores espalhados pelo mundo, canalizando uma ligação à Internet dos utilizadores através destes, de modo a que pareça vir de um país diferente. Isto permite a um utilizador em França, por exemplo, ver programas de televisão geoblock dos EUA. O Hola, contudo, funciona como uma VPN peer-to-peer, encaminhando as ligações dos utilizadores através dos dispositivos uns dos outros como uma central telefónica gigante. Hola ganha dinheiro ao vender largura de banda ociosa dos seus utilizadores gratuitos sob a marca Luminati. Os utilizadores que não querem contribuir com a sua largura de banda têm de pagar $5 por mês, explica a FAQ.
O fundador da Ofer Vilenski disse que o site “sempre deixou claro” como este modelo de negócio funciona, mas os utilizadores da Hola parecem ter sido quase universalmente ignorantes de que a sua largura de banda estava a ser vendida. Um tópico sobre a Reddit a discutir as notícias está cheio de comentadores que expressam a sua indignação e surpresa. “Há anos que a tenho”, escreve um comentador, “sabe-se lá quem tem usado a minha ligação à Internet!! E para quê?”! Até mesmo os utilizadores que possam ter tirado tempo para ler as FAQ do Hola podem ter sido enganados – TorrentFreak alega que o site “só recentemente” acrescentou detalhes explicando o papel do serviço Luminati ao seu site.
A preocupação de alguns utilizadores não é apenas que o Hola tem estado a perder a sua largura de banda, mas que a sua ligação pode ter sido utilizada para fins ilegais – acedendo a tudo, desde conteúdos com direitos de autor a imagens de abuso de crianças. No caso do DoS contra o 8chan, Vilenski do Hola disse que o atacante “poderia ter utilizado qualquer rede VPN comercial, mas optou por fazê-lo com a nossa” e teve agora a sua conta “terminada”. Os milhões de utilizadores de Hola, contudo, podem não se sentir confortados com esta notícia. No momento da redacção do presente artigo, a empresa não respondeu ao pedido de comentários do The Verge.