Ob Musikvideos bei YouTube, Fernsehserien aus den USA oder die Fußball-Übertragung am Urlaubsort – immer wieder stoßen Internetnutzer auf Fehlermeldungen der Sorte: "Dieses Video ist in deinem Land nicht verfügbar." Grund sind sogenannte Geosperren, die Inhalte nur in bestimmten Ländern zur Verfügung stellen.

Zahlreiche Firmen versprechen eine Lösung für dieses nervige Problem, indem sie Nutzern IP-Adressen aus anderen Ländern zur Verfügung stellen und so die Geosperren überlisten. Ein besonders beliebter Dienst ist Hola. Laut eigenen Angaben hat die Firma aktuell 47 Millionen Nutzer. Kein Wunder: Während andere Anbieter monatliche Gebühren von 5 bis 15 Euro verlangen, ist Hola kostenfrei.

Dieses Sonderangebot kommt nicht von ungefähr: Wie Hacker nun enthüllten, wimmelte die Software von Sicherheitslücken, die Angreifern ermöglichte, auf den Rechnern der Nutzer Schindluder aller Art zu treiben. Die Kampagnenseite Adios Hola vergleicht den Dienst mit einem gewaltigen Botnetz und fordert alle Nutzer auf, das Programm zu deinstallieren.

Geschenkter Gaul

Die Probleme sind zum Teil auf Schlamperei zurückzuführen, zum Teil aber systembedingt. Das kostenlose Angebot ist nur möglich, weil Hola keine eigenen Server betreibt, über die Videos zum Nutzer geleitet werden. Stattdessen setzt Hola auf ein Peer-to-peer-Netzwerk: Wenn ein Nutzer zum Beispiel ein Video von einem US-Anbieter abrufen will, verbindet Hola ihn mit einem amerikanischen Hola-Nutzer.

In der Praxis klappt das einfach, wenn auch alles andere als perfekt. Mal brechen Verbindungen ab, mal stockt die Übertragung. Aber bei einem kostenlosen Angebot tolerieren Nutzer solche Fehler.

Hola ist keine gemeinnützige Organisation. Die israelische Firma finanziert ihren Dienst damit, dass sie die Internetverbindung ihrer Nutzer vermarktet. Unter dem Namen Luminati bietet Hola zahlungswilligen Kunden den Zugang zum "weltweit größten VPN-Netzwerk". Die Hola-Kunden werden hier als "exit nodes" (Ausgangsknotenpunkte) vermarktet, deren Rechner all das tun, was die zahlenden Unternehmen wollen. Damit sich das lohnt, arbeitet das Plugin selbst dann, wenn der Nutzer gerade keine Videos über Hola schaut.

Spammer-Kunde macht Ärger

Auf Anfrage von ZEIT ONLINE sagte eine Firmensprecherin, Luminati habe seriöse Kunden. So nutzten Firmen den Dienst, um zu prüfen, zu welchen Preisen ihre Produkte angeboten würden oder wo ihre Onlinewerbung ausgeliefert wird. Mindestens ein unseriöser Kunde hat es jedoch ebenfalls ins Netz der Hola-Nutzer geschafft. So konnte Frederick Brennan, Betreiber des Forums 8chan, eine aktuelle Attacke bis ins Hola-Netzwerk zurückverfolgen.

Der unbekannte Angreifer habe sich hinter IP-Adressen von Hola-Nutzern verborgen, um das Forum mit scheinbar legitimen Anfragen zu fluten und den Server zum Absturz zu bringen. Hola bestätigt den Angriff, versichert aber, man werde in Zukunft die Kunden sorgfältiger überprüfen. Ob es noch mehr Fälle gab, ist unbekannt. Aufzeichnungen von Onlineverkaufsgesprächen legen nahe, dass Hola nicht wirklich überprüft, was die Luminati-Kunden in dem Netzwerk so treiben. 

Kundenrechner werden zu Servern

Die Enthüllung Brennans rief andere Hacker auf den Plan. Sie analysierten die Software und fanden innerhalb eines Tages zahlreiche Lücken, die Angreifern völlig freie Hand ließen.

Der technische Hintergrund: Hola richtet auf den Rechnern der Nutzer einen Server ein, der auf Anforderung Informationen abruft, zwischenspeichert und weiterleitet. Doch die Programmierer gaben diesem Server zu viele Rechte und schlampten bei der Absicherung. Folge: Wer es darauf anlegte, konnte auf die Festplatte der Nutzer zugreifen, unbemerkt Programme starten und über den Internetanschluss Angriffe auf andere Server starten. Zudem modifizierte das Browser-Plugin jede Datenabfrage so, dass Serverbetreiber die Nutzer nachverfolgen konnten. Das Plugin, das den Nutzern versprach, ihre Identität vor dem Zielserver zu verbergen, tat genau das nicht.