NordVPN innrømmer at det ble hacket

NordVPN, en av de mest fremtredende og respekterte VPN-leverandørene av forbrukerne, har bekreftet at en av serverne fikk tilgang uten autorisasjon.

Historien brøt etter at NordVPN la ut en ganske impulsiv og dumme uttalelse på Twitter.

NordVPN tweet

I stedet for en uttalelse om faktum, så twitterverse dette som en utfordring, og det gikk ikke lang tid før en gruppe som kalte seg KekSec avslørte at hackere hadde fått tilgang til en server og lekket Nord's OpenVPN-konfigurasjon og tilhørende privat nøkkel samt TLS-sertifikater.

Keksec twitter-svar

NordVPN har nå erkjent bruddet, og har uttalt at en angriper fikk tilgang til en leid server i Finland ved å utnytte et usikkert fjernstyringssystem igjen av datacenterleverandøren.

Bakgrunn

I mars 2018 ble TLS-sertifikater tilhørende NordVPN, VikingVPN og TorGuard webservere lagt ut på 8chan. Disse sertifikatene er nå utløpt, men var gjeldende på oppslagstidspunktet. Til tross for NordVPNs forsøk på å bagatellisere bruddet, beviser publikasjonen uten tvil at NordVPN har blitt kompromittert på et tidspunkt tidligere.

Den som skaffet seg disse sertifikatene, må ha hatt root-tilgang til de berørte serveres nettcontainer og ville derfor ha hatt full kontroll over serverne, inkludert muligheten til å snuse og tukle med data som går gjennom dem.

I teorien betyr dette også at hvem som helst kunne ha satt opp et dummy-nettsted som påstås å høre til NordVPN, VikingVPN eller TorGuard, som nettleseren din ville ha godtatt å være ekte. Noen har faktisk lagt ut et eksempel på et slikt angrep i aksjon:

Tianyu Zhu hjemmeside

NordVPN fortalte oss imidlertid at et slikt MitM-angrep ikke ville være mulig, med mindre en angriper var i stand til å hacke seg inn på brukerens datamaskin eller å avskjære og endre nettverkstrafikken deres.

Jo større problem

Det har også vist seg at de private SSL-nøklene for NordVPNs OpenVPN-sertifikater “også bare har flydd rundt stort sett ubemerket” i noen tid nå. Yikes! Dette har gitt anledning til spekulasjoner om at en angriper kan dekryptere brukernes VPN-økter, inkludert tidligere VPN-økter, slik at de kan se hva NordVPN-kunder fikk opp til online.

Igjen var NordVPN opptatt av å helle kaldt vann på denne ideen. "Verken TLS Certificate eller VPN Keys kan brukes til å dekryptere vanlig VPN-trafikk eller tidligere innspilt VPN-økt," fortalte de ProPrivacy.

Det er verdt å huske, NordVPNs OpenVPN-økter bruker perfekt fremoverhemmelighet (flyktige krypteringsnøkler) via DHE-2096 Diffie-Hellman-nøkler under TLS-nøkkelutvekslingen. Så selv om en VPN-økt ble brute-tvunget til store kostnader i penger, krefter og datakraft, ville bare en time av VPN-økten bli kompromittert før nøkkelen ble endret.

Selv om dette punktet kan være mye fordi angriperen helt klart hadde rottilgang til VPN-serveren.

Skyldspillet

NordVPN har publisert en offisiell uttalelse om hendelsen, der den forklarer at bare en enkelt server lokalisert i Finland ble berørt. Det står også at feilen ligger hos serversenterets ansatte:

"Angriperen fikk tilgang til serveren ved å utnytte et usikkert eksternt administrasjonssystem igjen av datacenterleverandøren. Vi var ikke klar over at et slikt system eksisterte. ”

Vi må imidlertid si at vi føler at et selskap som er så stort som NordVPN bør sende ut egne teknikere for å sette opp sine egne bare-metall VPN-servere, i stedet for å stole på potensielt upålitelige tredjeparts serverpersonell for å konfigurere VPN-serverne sine.

Etter vårt syn bør en VPN-tjeneste ha full kontroll over serverne sine. Å gjøre dette ville gå langt i retning av å herde et VPN-servernettverk mot alle trusler. Interessant nok er dette også et synspunkt av Niko Viskari, administrerende direktør for det aktuelle serversenteret:

"Ja, vi kan bekrefte at [Nord] var våre klienter," Viskari sa til The Register. "Og de hadde et problem med sikkerheten sin fordi de ikke tok seg av den selv.

...de hadde et problem med sikkerheten sin fordi de ikke tok seg av den selv

Niko Viskari

"Vi har mange kunder, og noen store VPN-tjenesteleverandører blant dem, som ivaretar sikkerheten deres veldig sterkt, ”sa han og la til:“ NordVPN ser ut til at det ikke var mer oppmerksom på sikkerhet av seg selv, og på en eller annen måte prøver å sette dette på skuldrene våre."

I uttalelsen forklarer Viskari at alle servere levert av selskapet bruker iLO- eller iDRAC-fjernaksessverktøyene. Disse har kjente sikkerhetsproblemer fra tid til annen, men serversenteret holder dem oppdatert med de siste firmwareoppdateringene fra HP og Dell.

I motsetning til andre sine andre kunder ba NordVPN ikke om at disse verktøyene skulle begrenses ved å plassere dem "i private nett eller stenge portene før de trengs."

NordVPN på sin side hevder at den ikke en gang visste at disse verktøyene eksisterte; men hvis den hadde satt opp egne servere, ville problemet aldri oppstått.

"Vi avslørte ikke utnyttelsen umiddelbart fordi vi måtte sørge for at ingen av infrastrukturen vår kunne være utsatt for lignende problemer."

Noe som ikke forklarer hvorfor problemet tok rundt 18 måneder å komme fram, med NordVPN som bare endelig innrømmet det i kjølvannet av en Twitterstorm som så fordømmende bevis bredt publisert på internett.

På slutten av dagen er det imidlertid gjort større skade på NordVPNs omdømme enn brukerens personvern.

"Selv om bare en av mer enn 3000 servere vi hadde den gangen ble berørt, prøver vi ikke å undergrave alvorlighetsgraden av problemet" leverandøren sa i sin uttalelse.

Vi mislyktes ved å inngå kontrakt med en upålitelig serverleverandør og burde ha gjort det bedre for å sikre kundenes sikkerhet

"Vi mislyktes ved å inngå kontrakt med en upålitelig serverleverandør og burde ha gjort det bedre for å sikre kundenes sikkerhet. Vi tar alle nødvendige midler for å forbedre vår sikkerhet. Vi har gjennomgått en applikasjonssikkerhetsrevisjon, jobber med en ny revisjon uten logger akkurat nå, og forbereder et bug-belønningsprogram. Vi vil gi alt for å maksimere sikkerheten til alle aspekter av tjenesten vår, og neste år vil vi starte en uavhengig ekstern revisjon av all vår infrastruktur for å sikre at vi ikke savnet noe annet."

ProPrivacy-uttalelse

ProPrivacy er dedikert til å gi brukerne sine råd de kan stole på. Vi inkluderer regelmessig NordVPN i anbefalingene våre på grunn av den fantastiske tjenesten de tilbyr. I lys av denne banebrytende historien, vil vi fjerne NordVPN fra våre sikkerhets- og personvernrelaterte artikler inntil vi er sikre på at tjenesten deres oppfyller forventningene våre og leserne våre..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me