Atualização 23 de outubro 09:57 UTC: A NordVPN alcançou diretamente os membros da imprensa na tentativa de esclarecer os pontos mais delicados da história.

Embora a maioria dos pontos levantados já fosse conhecida, a linha do tempo dos eventos que ocorreram mudou.

Um porta-voz da NordVPN nos disse o seguinte:

“O servidor afetado foi colocado online em 31 de janeiro de 2018.

“As evidências da violação apareceram em público em 5 de março de 2018. Outras evidências sugerem que essas informações só foram disponibilizadas logo após a ocorrência da violação..

“O potencial de acesso não autorizado ao nosso servidor foi restrito quando o data center excluiu a conta de gerenciamento não divulgada em 20 de março de 2018.

"O servidor foi destruído em 13 de abril de 2019 - o momento em que suspeitamos de uma possível violação."

Anteriormente, a NordVPN alegou que obteve o conhecimento da violação pela primeira vez em abril deste ano - agora parece que suspeitou de uma violação mais de um ano antes disso, em março de 2018.

Respondemos ao NordVPN com mais perguntas.

-

Atualização 22 de outubro 16:48 UTC: A NordVPN alegou que a Creanova, uma empresa de datacenter da qual a NordVPN alugou servidores na Finlândia, foi responsável pela violação de dados de março de 2018, devido a "práticas muito ruins de segurança".

Falando a um repórter da Bloomberg, o CEO da Creanova, Niko Viskari, respondeu: “Podemos confirmar que [NordVPN] eram nossos clientes. E eles tiveram um problema com a segurança, mas porque não cuidam da segurança sozinhos. ”

Viskari confirmou que os servidores da Creanova incluem ferramentas de acesso remoto, que "[têm] problemas de segurança de tempos em tempos".

Mas ele afirmou que: "Temos muitos clientes e alguns grandes provedores de VPN entre eles que cuidam da segurança ... Eles prestam mais atenção nisso do que o NordVPN".

De acordo com Viskari, a maioria dos provedores de VPN solicita que portas de acesso remoto sejam colocadas em redes privadas ou desligadas completamente até que sejam necessárias. Ele alega que a NordVPN foi negligente e está injustamente colocando a culpa pela violação de Creanova.

A NordVPN respondeu à declaração de Viskari, dizendo que a Creanova "instalou uma solução de gerenciamento remoto sem o nosso conhecimento".

No momento da publicação, o canário de mandado da NordVPN dizia “Nós, NordVPN, confirmamos que assumimos o controle total de nossa infraestrutura. Nunca foi comprometida ou sofreu uma violação de dados. ”À luz das revelações dos últimos dias, essas duas frases não parecem totalmente compatíveis.

Nossa história original, publicada pela primeira vez em 21 de outubro de 2019, segue.

-

NordVPN confirmou alegações de que um de seus servidores foi invadido em março de 2018.

No comunicado oficial da NordVPN, o porta-voz Daniel Markuson disse: "Em março de 2018, um dos datacenters na Finlândia de onde estávamos alugando nossos servidores foi acessado sem autorização".

O usuário 8chan anônimo que revelou a chave NordVPN também postou links para chaves OpenVPN para servidores pertencentes aos provedores de VPN Torguard e VikingVPN.

Em sua própria declaração sobre o vazamento, a TorGuard disse que “o TorGuard tomou conhecimento dessa divulgação em maio de 2019… O único servidor TorGuard comprometido foi removido da nossa rede no início de 2018 e, desde então, encerramos todos os negócios com a hospedagem relacionada revendedor por causa de repetidas atividades suspeitas ".

Nem o NordVPN nem o TorGuard revelaram a identidade do revendedor de hospedagem, mas o TorGuard afirma: "Este servidor não foi comprometido externamente e nunca houve uma ameaça para outros servidores ou usuários do TorGuard".

De acordo com o NordVPN, o servidor foi acessado através da exploração de um sistema de gerenciamento remoto inseguro deixado pelo provedor do datacenter.

Markuson disse: “O servidor em si não contém nenhum registro de atividade do usuário; nenhum de nossos aplicativos envia credenciais criadas pelo usuário para autenticação; portanto, nomes de usuário e senhas também não poderiam ser interceptados. "

Ele esclareceu que a chave não poderia ter sido usada para descriptografar o tráfego da VPN em nenhum outro servidor e que nenhum outro servidor foi afetado por essa violação específica.

Em conversa com a porta-voz do TechCrunch NordVPN, Laura Tyrell, disse: "A única maneira possível de abusar do tráfego do site era executando um ataque man-in-the-middle personalizado e complicado para interceptar uma única conexão que tentava acessar o NordVPN".

Um ataque man-in-the-middle é uma grave violação de segurança que pode permitir que terceiros interceptem, interceptem ou alterem a comunicação entre o usuário e o servidor.

A violação ocorreu em março de 2018 e, no início de maio de 2018, os links foram postados no quadro de mensagens controverso e agora off-line, 8chan.

No entanto, o NordVPN alega ter conhecido apenas as violações nos "últimos meses".

As informações sobre os vazamentos foram postadas pelo usuário do twitter @hexdefined ontem de manhã, 20 de outubro de 2019, aparentemente em resposta a uma postagem excluída do NordVPN, que foi excluída, afirmando: “Nenhum hacker pode roubar sua vida online. (Se você usa VPN). Fique seguro."

Uma captura de tela do tweet do NordVPN excluído

Tweet excluído do NordVPN

No Twitter, a NordVPN alegou que removeu este post "não porque esperávamos matar a discussão ... removemos porque o texto carecia de supervisão editorial".

Explicando por que a empresa esperou até hoje para divulgar informações sobre o vazamento, Tyrell disse que a NordVPN queria esperar até que pudesse ter "100% de certeza de que cada componente de nossa infraestrutura é seguro". Ela não fez referência à história que circulou no Twitter no dia anterior.

Simon Migliano, chefe de pesquisa do Top10VPN.com, comentou o fracasso do NordVPN em justificar adequadamente o sigilo do vazamento: “As notícias de NordVPN e Torguard sendo hackeadas em 2018 são muito alarmantes e parece que as duas empresas de VPN realizaram auditorias inadequadas de alguns dos servidores alugados em suas redes de servidores.

"Embora apenas um dos servidores da NordVPN tenha sido violado, esse incidente nunca deveria ter acontecido em primeiro lugar.

"Além das preocupações com a segurança, também é decepcionante saber que a NordVPN sabia da violação 'alguns meses atrás', mas decidiu não informar seus clientes sobre isso. Embora entendamos que leva tempo para realizar uma auditoria de segurança exaustiva para garantir que o restante da rede de servidores não esteja vulnerável, não deveria demorar tanto tempo se a verificação fosse priorizada. Certamente esperamos mais transparência de um dos principais fornecedores de VPN do mercado. ”

A VikingVPN ainda não divulgou uma declaração sobre a violação.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me