NordVPN priznao da je hakovan

Vesti, 23.10.2019, 11:00 AM

Jedan od najpopularnijih VPN servisa, NordVPN, koji ima 12 miliona korisnika iz celog sveta, objavio je detalje o incidentu u kom je kompromitovan jedan od hiljadu njegovih servera.

Početkom ove nedelje, jedan bezbednosni istraživač je na Twiteru otkrio da je "NordVPN u nekom trenutku bio kompromitovan", navodeći da su nepoznati napadači ukrali privatne ključeve za enkripciju koji su se koristili za zaštitu saobraćaja VPN korisnika koji su bili preusmereni preko kompromitovanog servera.

Kao odgovor na to, NordVPN je objavio saopštenje na svom blogu u kome je detaljno opisao incident.

NordVPN ima hiljade servera širom sveta a nepoznati napadač uspeo je da hakuje jedan takav server u Finskoj, marta 2018. godine.

Kompanija je otkrila da je nepoznati napadač dobio pristup tom serveru pomoću nesigurnog sistema daljinskog upravljanja za koji NordVPN nije ni znao, s obzirom da se on tu našao zahvaljujući provajderu data centra.

Budući da NordVPN ne beleži aktivnosti svojih korisnika, kompromitovani server "nije sadržao evidenciju aktivnosti korisnika; nijedna aplikacija ne šalje korisničke akreditive radi proveravanja identiteta, tako da ni korisnička imena/lozinke nisu mogle biti presretnute", objasnila je kompanija.

Međutim, kompanija je potvrdila da su napadači uspeli da ukradu tri TLS enkripcijska ključa koji su odgovorni za zaštitu saobraćaja korisnika VPN-a koji su preusmereni preko kompromitovanog servera.

Iako je NordVPN pokušao da umanji ozbiljnost incidenta navodeći da ukradeni ključevi više nisu važeći, kompanija je priznala da su ključevi bili važeći u vreme kada se dogodio napad i da su istekli u oktobru 2018., skoro 7 meseci nakon incidenta.

Skoro svaki web sajt danas koristi HTTPS za zaštitu internet saobraćaja svojih korisnika, a VPN servisi u suštini samo dodaju dodatni sloj provere identiteta i enkripcije vašem postojećem saobraćaju tuneliranjem preko velikog broja svojih servera, ograničavajući čak i vaše internet provajdere da prate vaše aktivnosti na internetu.

Sa ukradenim ključevima, napadači su možda samo dešifrovali onaj dodatni sloj zaštite za saobraćaj koji prolazi kroz kompromitovani server, koji se međutim ne može zloupotrebiti za dešifrovanje ili kompromitovanje HTTPS šifrovanog saobraćaja korisnika.

“Čak i da je haker mogao da vidi saobraćaj dok je povezan sa serverom, mogao je videti samo ono što bi običan internet provajder mogao da vidi, ali ni na koji način to ne bi moglo da bude personalizovano ili povezano sa određenim korisnikom”, rekao je portparol NordVPN-a.

“Ne znamo tačno koliko je korisnika koristilo ovaj server”, rekao je NordVPN, dodajući da je ovaj server je imao oko 50-200 aktivnih sesija.

Kada je otkrila napad pre nekoliko meseci, kompanija je odmah raskinula ugovor sa provajderom servera.

NordVPN je takođe odmah pokrenuo detaljnu unutrašnju reviziju celokupne svoje infrastrukture i još jednom proverio da „nijedan drugi server ne može biti iskorišćen na ovaj način“.

Kompanija je saopštila da će sledeće godine takođe „pokrenuti nezavisnu eksternu reviziju svoje infrastrukture" kako bi bili sigurni da nešto nisu propustili.

Kompanija je takođe priznala da „nije uspela da obezbedi bezbednost svojim korisnicima”, ali je istakla da preduzima sve potrebne mere za poboljšanje bezbednosti.

NordVPN nije jedini koji je imao problem sa hakerima. I popularni VPN servisi TorGuard i VikingVPN, takođe su pretrpeli napade iste godine kada se to dogodilo NordVPN-u.

TorGuard je u ponedeljak potvrdio da je jedan njegov server kompromitovan i uklonjen sa njegove mreže početkom 2018. godine i da je od tada „prekinuo sve poslove sa svojim hosting preprodavcem zbog ponovljenih sumnjivih aktivnosti“.

TorGuard 27. juna 2019. podneo je tužbu protiv NordVPN-a, ali nije izneo detalje o tome koga smatra odgovornim za incident, kao ni o tome kako je napad izveden.