10月23日更新09:57 UTC: NordVPN已直接与媒体联系,以澄清故事的重点。.

虽然提出的大多数意见已经为人所知,但是发生的事件的时间表已经改变.

NordVPN发言人告诉我们以下内容:

“受影响的服务器已于2018年1月31日上线.

“有关违规的证据已于2018年3月5日公开发布。进一步的证据表明,该信息仅在实际发生违规后不久才可用。.

“当数据中心于2018年3月20日删除了未公开的管理帐户时,未经授权访问我们服务器的可能性受到限制.

“在我们怀疑可能存在漏洞的那一刻,服务器已于2019年4月13日被粉碎。”

此前,NordVPN声称它于今年4月首次获得有关漏洞的知识-现在看来,它在2018年3月之前一年多以来就首次怀疑该漏洞。.

我们已经对NordVPN提出了进一步的问题.


10月22日更新16:48 UTC: NordVPN声称,由于“非常差的安全做法”,Credova是一家数据中心公司,NordVPN在该公司租用了芬兰的服务器,该事件是造成2018年3月数据泄露的原因。

Creanova首席执行官Niko Viskari在接受彭博社记者采访时说:“我们可以确认[NordVPN]是我们的客户。他们在安全性方面遇到了问题,但是因为他们自己没有自己照顾安全性。”

Viskari确认Creanova的服务器包含远程访问工具,该工具“有时会[出现]安全问题。”

但是他辩称:“我们有许多客户和一些大型VPN提供商,他们负责安全性……他们比NordVPN更加重视这一点。”

根据Viskari的说法,大多数VPN提供商都要求将远程访问端口放置在专用网络中或完全关闭,直到需要它们为止。他声称NordVPN一直疏忽大意,并不公平地将违反责任归咎于Creanova.

NordVPN回应了Viskari的声明,称Creanova“在我们不知情的情况下安装了远程管理解决方案。”

截至发布之时,NordVPN的授权金丝雀写道:“我们,NordVPN,确认我们已完全控制我们的基础架构。鉴于最近几天的启示,这两句话似乎并不完全兼容。.

我们的原始故事于2019年10月21日首次发布,之后是.

NordVPN证实了有关其一台服务器于2018年3月被黑客入侵的指控.

在NordVPN的官方声明中,发言人丹尼尔·马库森(Daniel Markuson)表示:“在2018年3月,未经授权访问了我们在芬兰租借的其中一个数据中心。”

匿名的8chan用户透露了NordVPN密钥,还发布了属于VPN提供商Torguard和VikingVPN的服务器的OpenVPN密钥的链接.

TorGuard在其有关泄漏的声明中表示:“ TorGuard最早在2019年5月就意识到了这一披露……受到破坏的单个TorGuard服务器已于2018年初从我们的网络中删除,此后我们通过相关托管终止了所有业务由于反复的可疑活动,转销商。”

NordVPN和TorGuard都没有透露托管经销商的身份,但是TorGuard声称:“该服务器并未受到外部威胁,也从未对其他TorGuard服务器或用户构成威胁。”

根据NordVPN,通过利用数据中心提供商留下的不安全的远程管理系统来访问服务器.

Markuson说:“服务器本身不包含任何用户活动日志。我们的应用程序都不会发送用户创建的身份验证凭据,因此用户名和密码也不会被拦截。”

他澄清说,该密钥不能用于解密任何其他服务器上的VPN流量,并且没有其他服务器受到此特定漏洞的影响.

NordVPN发言人Laura Tyrell在接受TechCrunch采访时说:“滥用网站流量的唯一可能方法是进行个性化且复杂的中间人攻击,以拦截试图访问NordVPN的单个连接。”

中间人攻击是严重的安全漏洞,它可能允许第三方窃听,拦截甚至改变用户与服务器之间的通信。.

该漏洞发生在2018年3月,并在2018年5月上旬发布了有争议且现已脱机的留言板8chan的链接.

但是,NordVPN声称仅在“过去几个月”内才知道违规情况。

关于该漏洞的信息是由Twitter用户@hexdefined于2019年10月20日上午发布的,显然是对NordVPN删除的帖子的回应:“不是没有黑客可以窃取您的在线生活。 (如果使用VPN)。注意安全。”

删除的NordVPN鸣叫的屏幕截图

NordVPN删除的推文

在Twitter上,NordVPN声称删除了该帖子“不是因为我们希望终止讨论……我们删除了该帖子是因为文本缺乏编辑监督。”

解释公司为何等到今天才发布有关泄漏的信息时,泰瑞尔表示,NordVPN希望等到“ 100%确保我们基础设施中的每个组件都是安全的”。她没有提及Twitter上流传的故事。在前一天.

Top10VPN.com的研究负责人西蒙·米利亚诺(Simon Migliano)评论说NordVPN无法适当地证明其对泄漏的信息保密的合理性:“ NordVPN和Torguard在2018年遭到黑客攻击的消息非常令人震惊,而且两家VPN公司似乎都感到震惊对服务器网络中某些租用服务器的审计不充分.

“虽然仅破坏了NordVPN的一台服务器,但此事件本来应该从未发生过.

“除了安全问题之外,得知NordVPN在“几个月前”就知道该违规行为,但决定不通知其客户也令人失望。尽管我们知道需要花费大量时间进行详尽的安全审核,以确保服务器网络的其余部分不受攻击,但如果将检查放在优先位置,则不应花这么长时间。我们当然希望市场上领先的VPN提供商之一提供更高的透明度。”

VikingVPN尚未发布有关违规的声明.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me