NordVPN hacket, men virksomheden forsikrer kunders privatliv ikke blev overtrådt på grund af virksomhedens sikkerhedspolitik?
NordVPN, en populær Virtual Private Network- eller VPN-udbyder, har indrømmet, at den blev hacket. Selvom virksomhedens sikkerhed blev overtrådt, kan dets datastyring og procespolitikker muligvis have sikret kunders privatliv forblevet beskyttet og anonym. NordVPNs egen optagelse følger vedvarende rygter om udviklingen.
NordVPN er en del af stadig mere populære VPN-udbydere. Tjenesteudbyderne får hurtig accept over hele kloden, da de hævder at give privatliv fra internetudbydere (ISP) og besøgende på websteder om internetsurfingstrafik. Ud over journalister og aktivister abonnerer selv almindelige internetbrugere i stigende grad på VPN-tjenester for at sikre anonymitet og beskyttelse mod potentielle spionage- og datalogningsforsøg fra flere bureauer.
NordVPN hacket, men kundens fortrolighed stadig intakt?
En VPN kanaliserer teknisk set alle brugernes internettrafik gennem et krypteret rør, hvilket gør det vanskeligere for nogen på internettet at se, hvilke websteder de besøger, eller hvilke apps der bruges. Men mange gange skifter denne proces blot browserhistorikken fra internetudbyderen til VPN-tjenesteudbyderen.
Ifølge NordVPNs interne undersøgelse fik angriberen adgang til en server ved at udnytte et usikkert fjernstyringssystem efterladt af en datacenterudbyder. Serveren havde været aktiv i omkring en måned. En talsmand for NordVPN afklarede om sikkerhedsbruddet: ”Selve serveren indeholdt ingen brugeraktivitetslogfiler; ingen af vores applikationer sender brugeroprettede legitimationsoplysninger til godkendelse, så brugernavne og adgangskoder kunne heller ikke have været opfanget. På samme note var den eneste mulige måde at misbruge trafikken på websitet ved at udføre et personligt og kompliceret mand-i-midten-angreb for at opfange en enkelt forbindelse, der forsøgte at få adgang til NordVPN. ”
https://twitter.com/NathOnSecurity/status/1186419430256824321
NordVPN hævder i det væsentlige, at dets sikkerhed var kompromitteret, men angriberne kunne umuligt have været i stand til at få oplysninger om virksomhedens klienter og deres data, der passerede gennem VPN. NordVPN havde tilsyneladende udløbne interne private nøgler eksponeret, der potentielt tillader nogen at spinde deres egne servere ud, der efterligner NordVPN. Men virksomheden forsikrer, at det simpelthen ikke er muligt. ”Den udløbne private nøgle kunne ikke have været brugt til at dekryptere VPN-trafikken på nogen anden server,” hævdede talsmanden.
Hvad der vedrører sikkerhedsbruddet er tidslinjen. Overtrædelsen skete angiveligt "for et par måneder siden", men det blev bevidst ikke afsløret, fordi NordVPN "ønskede at være 100% sikker på, at hver komponent inden for [deres] infrastruktur er sikker."
Andre VPN-tjenesteudbydere udover NordVPN angreb også:
NordVPN hævder, at det har en "zero logs" -politik. "Vi sporer, indsamler eller deler ikke dine private data," siger virksomheden. Hvad dette i det væsentlige betyder er, at datakryptering og transmission er dynamisk, og alle spor af datastrømmen skal teoretisk slettes med det samme. Selvom dette måske lyder beroligende, burde en virksomhed, der lover at "beskytte dit privatliv online", have bedre forsvar. I stedet insisterer virksomheden på, "at ingen kunne vide om et ikke-afsløret fjernstyringssystem, der er tilbage af [datacenter] -udbyderen."
Selvom der endnu ikke skal bekræftes, hævder flere rapporter online, at andre populære VPN-tjenesteudbydere, herunder TorGuard og VikingVPN, muligvis er blevet angrebet, og deres sikkerhed er brudt. Det er ikke klart, hvorfor hackerne går efter VPN-udbydere. Det er dog meget sandsynligt, at det primære formål er at målrette mod tjenesteudbydere snarere end at gå efter individuelle kunder. Store organisationer, hvis primære forretning tilbyder sikkerhed og anonymitet, vil helt sikkert være et primært mål for vedvarende trusselgrupper, da en vellykket lammelse af deres sikkerhed kan ødelægge forretningsudsigterne.
