Aktualizace 23. října 09:57 UTC: NordVPN přímo oslovil členy tisku ve snaze objasnit jemnější body příběhu.
Zatímco většina vznesených bodů byla známa, časová osa událostí, které se objevily, se změnila.
Mluvčí NordVPN nám řekl toto:
„Dotčený server byl uveden do provozu 31. ledna 2023.
„Důkazy o porušení se objevily na veřejnosti dne 5. března 2023. Další důkazy naznačují, že tyto informace byly k dispozici až brzy poté, co k porušení skutečně došlo.
„Možnost neoprávněného přístupu k našemu serveru byla omezena, když datové centrum dne 20. března 2023 odstranilo nezveřejněný účet pro správu..
“Server byl zničen 13. dubna 2023 – ve chvíli, kdy jsme měli podezření na možné porušení.”
Dříve společnost NordVPN tvrdila, že se poprvé dozvěděla o porušení předpisů v dubnu tohoto roku – nyní se zdá, že se nejprve domnívala, že došlo k porušení předpisů více než rok před tím, v březnu 2023.
Na NordVPN jsme odpověděli dalšími otázkami.
–
Aktualizace 22. října 16:48 UTC: Společnost NordVPN tvrdí, že společnost Creanova, společnost datového centra, od které si společnost NordVPN pronajala servery ve Finsku, byla odpovědná za porušení dat v březnu 2023, a to kvůli „velmi špatným bezpečnostním postupům“.
V rozhovoru s reportérem Bloomberg odpověděl generální ředitel Creanova Niko Viskari: „Můžeme potvrdit, že [NordVPN] byli našimi klienty. A měli problém s bezpečností, ale protože se sami o sebe nestarají. “
Viskari potvrdil, že servery společnosti Creanova obsahují nástroje pro vzdálený přístup, které „[mají] problémy s bezpečností čas od času.“
Tvrdil však, že: „Mezi klienty máme mnoho klientů a několik velkých poskytovatelů VPN, kteří se starají o bezpečnost… Tomu věnují více pozornosti než NordVPN.“
Podle Viskari většina poskytovatelů VPN požaduje, aby byly porty vzdáleného přístupu umístěny do privátních sítí nebo zcela vypnuty, dokud nebudou potřeba. Tvrdí, že společnost NordVPN byla nedbalostní a nespravedlivě viní Creanovu vinu za porušení.
Společnost NordVPN reagovala na prohlášení společnosti Viskari a uvedla, že Creanova „nainstalovala řešení pro vzdálenou správu bez našich znalostí“.
V době zveřejnění Kanárský průkaz NordVPN zní: „My, NordVPN, potvrzujeme, že převezmeme plnou kontrolu nad naší infrastrukturou. Nikdy to nebylo ohroženo ani nedošlo k narušení dat. “S ohledem na odhalení posledních několika dnů se tyto dvě věty nezdají plně kompatibilní..
Následuje náš původní příběh, poprvé zveřejněný 21. října 2023.
–
NordVPN potvrdil obvinění, že jeden z jeho serverů byl hacknut v březnu 2023.
V oficiálním prohlášení společnosti NordVPN mluvčí Daniel Markuson uvedl: „V březnu 2023 byl přístup k jednomu z datových center ve Finsku, z nichž jsme si pronajímali naše servery, bez oprávnění.“
Anonymní 8-kanálový uživatel, který odhalil klíč NordVPN, zveřejnil také odkazy na klíče OpenVPN pro servery patřící poskytovatelům VPN Torguard a VikingVPN..
Ve svém vlastním prohlášení o úniku TorGuard uvedl: „TorGuard se o tomto zveřejnění dozvěděl poprvé v květnu 2023… Jeden kompromitovaný server TorGuard byl odstraněn z naší sítě začátkem roku 2023 a od té doby jsme ukončili veškeré podnikání s tím související hosting prodejce kvůli opakované podezřelé činnosti. “
Ani NordVPN ani TorGuard neodhalili identitu hostujícího distributora, ale TorGuard tvrdí: „Tento server nebyl navenek kompromitován a nikdy nedošlo k ohrožení jiných serverů nebo uživatelů TorGuard.“
Podle společnosti NordVPN byl server přístupný využitím nezabezpečeného systému vzdálené správy, který zůstal poskytovatelem datového centra.
Markuson řekl: „Samotný server neobsahoval žádné protokoly uživatelských aktivit; žádná z našich aplikací neodesílá přihlašovací údaje vytvořené uživatelem k ověření, takže nemohla být zachycena ani uživatelská jména a hesla. “
Objasnil, že klíč nemohl být použit k dešifrování provozu VPN na žádném jiném serveru a že tímto konkrétním narušením nebyly ovlivněny žádné další servery..
Mluvčí TechCrunch mluvčí NordVPN Laura Tyrell uvedl: „Jediným možným způsobem, jak zneužít provoz na webu, bylo provedení personalizovaného a komplikovaného útoku uprostřed člověka k zachycení jediného spojení, které se pokusilo získat přístup k NordVPN.“
Útok typu „člověk uprostřed“ je závažným narušením bezpečnosti, které může třetí straně umožnit odposlechnout, zachytit nebo dokonce změnit komunikaci mezi uživatelem a serverem..
K porušení došlo v březnu 2023 a na začátku května 2023 byly zveřejněny odkazy na kontroverzní a nyní offline offline diskusní fórum, 8chan.
Společnost NordVPN však tvrdí, že o porušeních věděla pouze „za posledních několik měsíců“.
Informace o netěsnostech zveřejnil uživatel twitteru @hexdefined včera ráno, 20. října 2023, zjevně v reakci na příspěvek, který od NordVPN odstranil od té doby, kdy uvedl: „Žádný hacker nemůže ukrást váš online život. (Pokud používáte VPN). Zůstat v bezpečí.”
NordVPN smazal tweet
Na Twitteru NordVPN tvrdil, že odstranil tento příspěvek „ne proto, že jsme doufali, že zabijeme diskusi … odstranili jsme ji, protože text postrádal redakční dohled.“
Vysvětlení, proč společnost čekala až do dnešního dne na zveřejnění informací o úniku, řekl Tyrell, že chce NordVPN počkat, až si bude moci být „stoprocentně jistý, že každá komponenta v naší infrastruktuře je bezpečná“. přes předchozí den.
Simon Migliano, vedoucí výzkumu na Top10VPN.com, komentoval, že společnost NordVPN nedokázala řádně odůvodnit zachování důvěrnosti svých informací o úniku: „Zprávy o hackování společností NordVPN a Torguard v roce 2023 jsou velmi alarmující a zdá se, že obě společnosti VPN provedli nedostatečné audity některých pronajatých serverů v rámci jejich serverových sítí.
“Přestože byl narušen pouze jeden ze serverů NordVPN, k této události by se nikdy nemělo vůbec stát.”.
„Kromě bezpečnostních otázek je také zklamáním, když jsem zjistil, že společnost NordVPN o porušení věděla„ před několika měsíci “, ale rozhodla se o tom informovat své zákazníky. Přestože si vážíme, že provedení důkladného bezpečnostního auditu vyžaduje jistotu, že zbytek serverové sítě není zranitelný, nemělo by to trvat tak dlouho, pokud by byla kontrola prioritou. Určitě očekáváme větší transparentnost od jednoho z předních poskytovatelů VPN na trhu. “
VikingVPN musí ještě vydat prohlášení o porušení.