[Aktualizacja] NordVPN wcale nie taki bezpieczny? Prywatne klucze wyciekły do sieci

Być może czytaliście mój wpis dotyczący usług VPN z lipca. Pisałem w nim wtedy, że niewiele osób zdaje sobie sprawę z tego kto tak naprawdę jest właścicielem poszczególnych VPNów. Od tego kto administruje daną usługą może zależeć to gdzie trafiają informacje o Waszej aktywności sieciowej. Wybór usług jest na szczęście naprawdę ogromny, ale jedną z najpewniejszych, najpopularniejszych i najszerzej polecanych jest NordVPN, który zaliczył właśnie wpadkę.

Serwis Zaufana Trzecia Strona zwrócił uwagę na to, że w sieci znaleźć można… klucz prywatny serwisu NordVPN.com. Jest wprawdzie nieaktywny i pochodzi sprzed roku, ale jakimś cudem trafił do sieci.

Na domiar złego, specjaliści zwracają uwagę na to, że podobnych kluczy jest więcej. Każdy chętny może skorzystać z takiego klucza, by założyć za jego pomocą własny serwer. Co więcej, wcześniej zaszyfrowane sesje mogą zostać dekodowane, co stanowi w zasadzie największy problem.

So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys… pic.twitter.com/TOap6NyvNy

— undefined (@hexdefined) 20 października 2019

O RLY ???

This one isn’t our work, its just been floating around mostly unnoticed. greetz to blackface.https://t.co/IIwXyuLsZR https://t.co/aGP6oZuH2l

— keksec (@le_keksec) 20 października 2019

Przy okazji publikacji niniejszej informacji zalecamy każdemu zdrowy rozsądek w ocenie poszczególnych usług VPN. To, że ktoś wydaje olbrzymie pieniądze na marketing i kampanie reklamowe w sieci wcale nie znaczy, że świadczy najlepsze i najbezpieczniejsze usługi.

[AKTUALIZACJA]: Przedstawiciele NordVPN wydali oświadczenie w opisywanej sprawie. Przyznali się oni, że w marcu 2018 roku w jednym z centrów danych w Finlandii osoba nieuprawniona uzyskała dostęp do serwerów. Firma twierdzi, że wykorzystano system zarządzania dostawcy centrum danych, którego istnienia nie była świadoma. Po incydencie miał miejsce audyt wewnętrzny i potwierdzono, że wśród danych na serwerze nie było danych o aktywności użytkowników, loginów i haseł. Firma była świadoma wycieku od dawna, ale nie udostępniała na ten temat informacji, by wcześniej upewnić się, że infrastruktura jest odporna na ataki. NordVPN podaje, że klucz nie mógł zostać odszyfrowany.

Źródło: Twitter, Zaufana Trzecia Strona