NordVPN, un fornitore di rete privata virtuale che promette di "proteggere la tua privacy online", ha confermato che è stato violato.
L'ammissione arriva dopo le voci secondo cui la società era stata violata. È emerso per la prima volta che a NordVPN era stata esposta una chiave privata interna scaduta, consentendo potenzialmente a chiunque di eseguire lo spinning dei propri server imitando NordVPN.
I provider VPN sono sempre più popolari in quanto forniscono apparentemente la privacy del tuo provider Internet e visitano siti sul tuo traffico di navigazione in Internet. Ecco perché giornalisti e attivisti usano spesso questi servizi, in particolare quando lavorano in stati ostili. Questi provider canalizzano tutto il tuo traffico Internet attraverso una pipe crittografata, rendendo più difficile per chiunque su Internet vedere quali siti stai visitando o quali app stai utilizzando. Ma spesso questo significa spostare la cronologia di navigazione dal tuo provider Internet al tuo provider VPN. Ciò ha lasciato molti fornitori aperti al controllo, poiché spesso non è chiaro se ciascun fornitore sta registrando tutti i siti visitati da un utente.
Da parte sua, NordVPN ha rivendicato una politica di "zero log". "Non tracciamo, raccogliamo o condividiamo i tuoi dati privati", afferma la società. Ma è probabile che la violazione provochi l'allarme che gli hacker potrebbero essere stati in grado di accedere ad alcuni dati degli utenti.
NordVPN ha dichiarato a TechCrunch che a marzo 2018 è stato effettuato l'accesso a uno dei suoi data center. "A uno dei data center in Finlandia da cui stiamo affittando i nostri server è stato effettuato l'accesso senza autorizzazione", ha dichiarato la portavoce di NordVPN Laura Tyrell.
L'aggressore ha ottenuto l'accesso al server - che era attivo da circa un mese - sfruttando un sistema di gestione remota non sicuro lasciato dal fornitore del data center; NordVPN ha affermato che non era a conoscenza dell'esistenza di un tale sistema.
NordVPN non ha nominato il fornitore del data center.
“Il server stesso non conteneva alcun registro delle attività dell'utente; nessuna delle nostre applicazioni invia credenziali create dall'utente per l'autenticazione, pertanto non è stato possibile intercettare nomi utente e password ", ha affermato il portavoce. "Sulla stessa nota, l'unico modo possibile per abusare del traffico del sito Web è stato quello di eseguire un attacco man-in-the-middle personalizzato e complicato per intercettare una singola connessione che ha tentato di accedere a NordVPN."
Secondo il portavoce, la chiave privata scaduta non avrebbe potuto essere utilizzata per decrittografare il traffico VPN su qualsiasi altro server.
NordVPN ha dichiarato di aver scoperto la violazione "pochi mesi fa", ma il portavoce ha affermato che la violazione non è stata divulgata fino ad oggi perché la società voleva essere "sicura al 100% che ogni componente all'interno della nostra infrastruttura fosse sicuro".
Un ricercatore senior di sicurezza con cui abbiamo parlato che ha esaminato la dichiarazione e altre prove della violazione, ma ha chiesto di non essere nominato mentre lavorano per un'azienda che richiede l'autorizzazione a parlare con la stampa, ha definito questi risultati "preoccupanti".
"Sebbene ciò non sia confermato e attendiamo ulteriori prove forensi, questo è un indice di un completo compromesso remoto dei sistemi di questo fornitore", ha detto il ricercatore di sicurezza. "Questo dovrebbe essere profondamente preoccupante per chiunque utilizzi o promuova questi servizi particolari."
NordVPN ha affermato che "nessun altro server sulla nostra rete è stato interessato."
Ma il ricercatore di sicurezza ha avvertito che NordVPN stava ignorando il problema più ampio del possibile accesso dell'attaccante attraverso la rete. "La tua auto è stata appena rubata e presa per un giro di gioia e stai mormorando su quali pulsanti sono stati premuti alla radio?", Ha detto il ricercatore.
La società ha confermato di aver installato sistemi di rilevamento delle intrusioni, una tecnologia popolare che le aziende utilizzano per rilevare le violazioni precoci, ma "nessuno poteva sapere di un sistema di gestione remota non divulgato lasciato dal fornitore del [data center]", ha detto il portavoce.
"Hanno speso milioni per la pubblicità, ma apparentemente nulla per un'efficace sicurezza difensiva", ha detto il ricercatore.
NordVPN è stato recentemente raccomandato da TechRadar e PCMag. CNET lo ha descritto come il suo provider VPN "preferito".
Si ritiene inoltre che diversi altri provider VPN possano essere stati violati nello stesso periodo. Record simili pubblicati online - e visti da TechCrunch - suggeriscono che anche TorGuard e VikingVPN potrebbero essere stati compromessi.
Un portavoce di TorGuard ha dichiarato a TechCrunch che un "singolo server" è stato compromesso nel 2017, ma ha negato l'accesso a qualsiasi traffico VPN. TorGuard ha anche rilasciato una dichiarazione estesa a seguito di un post sul blog di maggio, che per primo ha rivelato la violazione.
-------------------------
L'originale di questo articolo è stato pubblicato su techcrunch.com.