Niebezpieczna sieć peer-to-peer
Aby zamaskować Twój adres IP i ominąć blokady stron internetowych, Hola Free VPN kieruje Twój ruch internetowy przez urządzenia innych użytkowników.
Analogicznie, inni użytkownicy mogą użyć Twojego adresu IP w dowolny sposób. Jest to niebezpieczne, ponieważ Twój IP może zostać wykorzystany do popełnienia przestępstwa, które zostanie powiązane z Twoją tożsamością i adresem domowym.
Strona o nazwie Adios, Hola! utworzona przez badaczy cyberbezpieczeństwa informuje, że Hola jest „szkodliwy dla Internetu, a zwłaszcza dla swoich użytkowników” i nazywa go „kiepsko zabezpieczonym botnetem”, który niesie za sobą „poważne konsekwencje”.
Zespół Adios, Hola! zidentyfikował różne luki w zabezpieczeniach Hola VPN – jedna z nich pozwalała podobno każdemu na uruchamianie programów na komputerach użytkowników usługi.
Według strony Hola naprawiła pewne luki, ale część z nich nadal pozostaje niezaadresowana.
Przykładowo, w 2015 roku, założyciel 8chan, Fredrick Brennan poinformował, że jego witryna padła ofiarą ataku DDoS ze strony użytkowników korzystających z sieci Hola. Zostało to później potwierdzone przez współzałożyciela Hola VPN, Vilenskiego.
Według firmy z branży cyberbezpieczeństwa Trend Micro Hola VPN jest również podatny na wycieki adresów IP i umożliwił ekstrakcję danych.
Brak podstawowych zabezpieczeń
Aplikacje mobilne Hola VPN używają przestarzałego i niebezpiecznego protokołu PPTP. Nie stosują też żadnego szyfrowania. Twój ruch pozostaje niezaszyfrowany – jest chroniony jedynie przez łatwy do zhakowania protokół tunelowania.
Prosto mówiąc, korzystanie z Hola VPN na urządzeniu mobilnym jest ryzykowne.
Na Windowsie, Hola VPN domyślnie stosuje protokół IKEv2/IPSec, ale strona usługi informuje, że aplikacja może przełączyć się na PPTP, aby ominąć pewne geoblokady.
Znaleźliśmy również rozwijane menu z różnymi szyframi, gdzie AES-256 jest oznaczony jako domyślny.
Potwierdziliśmy to za pomocą Wireshark, narzędzia do przechwytywania pakietów. Wszystkie nasze pakiety danych wyświetlały jedynie niemożliwe do odczytania symbole opakowane w protokół IKEv2/IPSec, dzięki czemu nasza aktywność podczas przeglądania pozostała prywatna.

Hola VPN szyfruje ruch tylko w swojej aplikacji na system Windows.
Choć jest to poprawa w stosunku do poprzednich wersji aplikacji mobilnych, protokół IKEv2/IPSec ma zamknięty kod źródłowy oraz powszechnie znane luki w zabezpieczeniach.
Chcielibyśmy, aby Hola VPN wprowadził bezpieczne protokoły tunelowania z otwartym kodem źródłowym, jak OpenVPN czy WireGuard. Zwiększyłoby to wiarygodność usługi i zapewniło prywatność Twoich danych osobowych.
Nie mogliśmy przetestować aplikacji na macOS, ponieważ zablokowała nam dostęp do Internetu. Nie sądzimy jednak, że używa odpowiedniego szyfrowania i protokołów tunelowania, ponieważ nie mogliśmy ich znaleźć w menu ustawień.
Wadliwy Kill Switch o ograniczonej dostępności
Tylko aplikacja Hola VPN na system Windows ma Kill Switch. Użytkownicy Hola w wersji mobilnej oraz na macOS nie mają zapewnionej żadnej ochrony w razie utraty połączenia z serwerem VPN.
Sprawdziliśmy Kill Switch w aplikacji na Windows za pomocą naszego autorskiego narzędzia do testów funkcji Kill Switch i odkryliśmy, że również dopuścił do wycieku naszego prawdziwego adresu IP:

Doświadczyliśmy wycieku IP próbując ponownie połączyć się z Internetem.
Funkcje techniczne, które chcielibyśmy zobaczyć
Hola VPN nie oferuje podstawowych funkcji, których oczekujemy od wszystkich usług VPN. Oto najważniejsze brakujące opcje:
- Sieć serwerów VPN, aby bezpiecznie przekierowywać ruch internetowy bez konieczności korzystania z adresów IP innych użytkowników.
- Szyfrowanie AES-256 we wszystkich aplikacjach, aby chronić dane i skutecznie ukrywać aktywność online.
- Nowoczesne protokoły VPN takie jak WireGuard oraz OpenVPN, które zabezpieczają ruch internetowy. Są szybkie, bezpieczne i mają otwarty kod źródłowy.
- Kill Switch, aby zapobiec wyciekowi danych w razie niespodziewanej utraty połączenia z serwerem VPN.
- Ochrona przed wyciekami IPv4 i IPv6, aby zagwarantować, że Twój prawdziwy adres IP pozostanie prywatny.