NordVPN承认它已被黑客入侵

NordVPN是最著名和最受尊敬的消费者VPN提供商之一,已确认其一台服务器未经授权就被访问.

在NordVPN在Twitter上发布了一个相当冲动和愚蠢的声明之后,这个故事破裂了.

NordVPN鸣叫

twitterverse并没有陈述事实,而是将其视为挑战,不久之后,一个自称KekSec的组织透露黑客已经访问了服务器,并泄露了Nord的OpenVPN配置以及相关的私钥以及TLS证书.

Keksec Twitter回应

NordVPN现在已承认该漏洞,并指出攻击者通过利用数据中心提供商留下的不安全的远程管理系统来访问芬兰的一台租用服务器.

背景

2018年3月,属于8VPN的NordVPN,VikingVPN和TorGuard Web服务器的TLS证书发布了。这些证书现已过期,但在发布时是最新的。尽管NordVPN努力淡化该漏洞,但该出版物毫无疑问地证明了NordVPN在过去的某个时候已经受到威胁。.

获得这些证书的人必须具有对受影响服务器的Web容器的根访问权限,因此将具有对服务器的完全控制权,包括嗅探和篡改通过它们的数据的能力.

从理论上讲,这也意味着任何人都可以建立一个虚拟网站,声称它属于NordVPN,VikingVPN或TorGuard,而您的浏览器会认为它们是真实的。确实,有人甚至发布了这样的攻击实例:

朱天宇主页

但是,NordVPN告诉我们,除非攻击者能够入侵用户的计算机或拦截并修改其网络流量,否则这种MitM攻击是不可能的.

更大的问题

很明显,NordVPN的OpenVPN证书的私用SSL密钥“也几乎没有引起人们的注意”。 kes!这加剧了人们的猜测,即攻击者可以解密用户的VPN会话,包括过去的VPN会话,从而使他们能够查看NordVPN客户上网的情况。.

同样,NordVPN渴望将冷水注入这个想法。他们告诉ProPrivacy:“ TLS证书或VPN密钥均不能用于解密常规VPN流量或以前记录的VPN会话。”.

值得记住的是,NordVPN的OpenVPN会话在TLS密钥交换过程中通过DHE-2096 Diffie-Hellman密钥使用了完美的前向保密性(临时加密密钥)。因此,即使VPN会话被迫以金钱,精力和计算能力的巨大代价强行强行使用,在更改密钥之前,只有一个小时的VPN会话会受到损害.

尽管这一点可能没有意义,因为攻击者显然具有对VPN服务器的root访问权限.

怪游戏

NordVPN已发布有关此事件的官方声明,其中说明只有一台位于芬兰的服务器受到了影响。这也说明服务器中心人员有问题:

“攻击者通过利用数据中心提供商留下的不安全的远程管理系统来访问服务器。我们不知道这样的系统存在。”

但是,我们不得不说,我们觉得像NordVPN一样大的公司应该派出自己的技术人员来设置自己的裸机VPN服务器,而不是依靠可能不值得信任的第三方服务器人员来设置他们的VPN服务器.

我们认为,VPN服务应完全控制其服务器。这样做对于加强VPN服务器网络抵御所有威胁将大有帮助。有趣的是,这也是该服务器中心首席执行官Niko Viskari的观点:

"是的,我们可以确认[Nord]是我们的客户," 维斯卡里告诉The Register. "而且他们的安全性有问题,因为他们自己不照顾它.

...他们的安全性有问题,因为他们自己没有自己照顾

尼科·维斯卡里(Niko Viskari)

"他说:“我们有很多客户,还有一些大型VPN服务提供商,他们非常注重安全性,”他补充说:“ NordVPN似乎并没有更多地关注安全性,因此尝试将其放在我们的肩膀."

Viskari在其声明中继续解释说,他公司提供的所有服务器都使用iLO或iDRAC远程访问工具。这些安全性问题有时会出现,但是服务器中心会使用来自HP和Dell的最新固件更新为它们打补丁。.

与其他客户不同的是,NordVPN并没有要求将这些工具“放置在专用网内部或关闭端口,直到需要时”加以限制。

就其本身而言,NordVPN声称甚至不知道这些工具的存在。但是如果它设置了自己的服务器,就永远不会出现问题.

“我们没有立即披露该漏洞利用程序,因为我们必须确保我们的基础架构都不会出现类似问题。”

但这并不能解释为什么这个问题需要花费大约18个月的时间才能揭晓,NordVPN只是在Twitterstorm之后才承认这一点,Twitterstorm看到在互联网上广泛发布了该死的证据。.

归根结底,对NordVPN的声誉造成的损害要大于对其用户隐私的损害.

"即使我们当时拥有的超过3000台服务器中只有1台受到了影响,我们也不打算破坏问题的严重性" 提供者在声明中说.

我们通过与不可靠的服务器提供商签约而失败,并且应该做得更好以确保客户的安全

"我们没有与不可靠的服务器提供商签约,因此应该做得更好,以确保客户的安全。我们正在采取一切必要手段来增强我们的安全性。我们已经接受了应用程序安全审核,目前正在第二次进行无日志审核,并且正在准备漏洞赏金计划。我们将全力以赴,以最大限度地提高服务各个方面的安全性,明年,我们将对所有基础架构进行独立的外部审核,以确保我们不会错过任何其他事项."

ProPrivacy声明

ProPrivacy致力于为用户提供值得信赖的建议。由于我们提供的出色服务,我们经常将NordVPN纳入我们的建议中。鉴于这个突破性的故事,我们将在与安全性和隐私相关的文章中删除NordVPN,直到我们确信它们的服务符合我们以及读者的期望为止.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me