NordVPN piraté: un autre mord la poussière?

NordVPN piraté

Dans le dernier scandale, NordVPN est en flammes sur Twitter et Reddit, alors que des nouvelles éclatent sur leur piratage. Pour un service qui se vante le plus longtemps comme un maximaliste de la sécurité; l'ironie a créé un environnement de brûlures froides pour Nord’s utilisateurs.

Avant d'entrer dans les détails, je’J'aimerais mentionner que BestVPN.co a supprimé le fournisseur de nos listes recommandées, jusqu'à ce que nous ne recevions pas une réponse appropriée (qui a du sens) de Nord concernant cet horrible incident.

Quelques informations sur le NordVPN Hack

Les nouvelles ont généralement gagné en importance, après TechCrunch’s post “NordVPN confirme qu'il a été piraté“. Cependant, la discussion et les allégations ont commencé sur Twitter; après NordVPN lui-même a invité des ennuis en déclenchant la communauté InfoSec.

NordVPN signe son arrêt de mort

Ce tweet était à peu près tout ce qu'il a fallu au fournisseur pour se mettre sous le feu des projecteurs. Peu de temps après sa mise en ligne, l'utilisateur de twitter @le_keksec a donné une réponse indiquant que NordVPN avait peut-être été piraté à un moment donné, car leurs clés privées avaient été divulguées.

Clés privées NordVPN flottant en ligne

Keksec a vérifié que ce n'était pas leur travail, et ces clés privées flottaient juste inaperçues sur Internet (wow).

Ils ont même partagé le lien vers les clés privées via share.dmca, après quoi l'utilisateur de Twitter @hexdefined a vérifié que NordVPN avait bien été compromis. Il a même publié le certificat correspondant à la clé privée: https://crt.sh/?id=10031443

Donc apparemment, NordVPN a été compromis à un moment donné. Leurs clés privées (expirées) ont été divulguées, ce qui signifie que n'importe qui peut simplement configurer un serveur avec ces clés ... pic.twitter.com/TOap6NyvNy

- undefined (@hexdefined) 20 octobre 2019

En approfondissant le problème, il est apparu que NordVPN avait utilisé les paramètres Diffie-Hellman 2048 bits incroyablement faibles et que le trafic pendant le piratage aurait pu être décrypté pendant au moins une heure, affectant plus de 50-200 utilisateurs Nord.

je’Nous avons également vu cette fuite, ils utilisaient des paramètres dh à 2048 bits, mais sans définir reneg-sec, la valeur par défaut était 1 heure. Donc, au moment du piratage, le trafic jusqu'à il y a une heure aurait pu être décrypté.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 20 octobre 2019

Après tous ces “accusations”  sur Twitter, NordVPN a publié une série de trois tweets, affirmant que leur service marketing a pris de l'avance sur eux-mêmes avec la surestimation ci-dessus, et qu'ils fourniront bientôt une déclaration officielle.

NordVPN répondant à la surestimation

Après ces tweets, NordVPN a publié sa déclaration officielle, dans laquelle ils déclarent que la violation n'a affecté que “UN SEUL SERVEUR” et non l'ensemble du service, suivi par les affirmations selon lesquelles TechCrunch’s “hypothèses” sont inexacts.

Le jeu du blâme entre Nord et Creanova (centre de données)

Le piratage a également affecté deux autres services VPN; TorGuard et VikingVPN. Ce dernier et NordVPN ne pratiquaient pas la gestion sécurisée de l'ICP, tandis que TorGuard l'utilisait.

C'est l'une des raisons pour lesquelles aucun de leurs utilisateurs VPN n'a été affecté par cette violation et leur clé CA n'a pas été volée, car elle n'était pas présente sur le serveur compromis.

https://t.co/maZBOR6FVD est la source. Comprend également certains hacks de VikingVPN et TorGuard. VikingVPN n'était pas non plus’t pratiquer la gestion sécurisée de l'ICP. TorGuard était pourtant. Le dernier lien dans ce post semble être 8chan lui-même, avec un .bash_history exposé.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 21 octobre 2019

Cependant, nous en parlerons plus tard, comme en ce moment NordVPN’s la réponse doit être abordée. Ils ont déclaré, “Nous avons appris qu'en mars 2018, l'un des centres de données en Finlande où nous avions loué nos serveurs était accessible sans autorisation.

L'attaquant a accédé au serveur en exploitant un système de gestion à distance non sécurisé laissé par le fournisseur du centre de données alors que nous ignorions qu'un tel système existait.”

Apparemment, c'est ainsi que NordVPN a été piraté (informations d'identification par défaut sur une interface Web iDRAC exposée) pic.twitter.com/09QCYQvBYX

- Nathan &# 55356;&# 57331; ️‍&# 55356;&# 57096; (@NathOnSecurity) 21 octobre 2019

NordVPN a déclaré que peu de temps après cet incident, ils avaient lancé un audit interne approfondi et créé un processus pour déplacer tous leurs serveurs vers une infrastructure RAM, similaire à ExpressVPN.’s Infrastructure et technologie TrustedServer.

En lisant la déclaration officielle, il y a eu deux plats à emporter; NordVPN n'a confirmé les nouvelles du piratage qu'après sa découverte sur Twitter (en violation du RGPD)’la politique de violation des données), et ils ont mis une grande partie du blâme sur le centre de données tiers, Creanova!

Nord a violé le RGPD en confirmant la violation le 20 octobre, quand elle s'est effectivement produite en mars 2018. Deuxièmement, la faute en revient à Creanova, qui prétend que NordVPN est celui qui se moque en fait de la sécurité..

Déclaration de CreaNova sur la violation

Après que la déclaration ci-dessus se soit répandue comme une traînée de poudre, NordVPN a riposté à Creanova avec la preuve que le logiciel de gestion à distance (les pirates ont finalement piraté) a été installé à leur insu.

Réponse de NordVPN à Creanova

Qui’s celui qui est réellement en faute?

En tant que critique VPN, je considère cette situation incroyablement alarmante et placerait plus de responsabilité entre les mains de Nord, surtout lorsque vous tenez compte de son principal argument de vente; à quel point leur produit est sécurisé (et comment il était positionné en tête de liste chez CNet, PCMag et TechRadar).

Sans oublier, ils ont également déjà été impliqués dans un procès intenté par TorGuard, suite à un programme de bug bounty. Apparemment, Nord a menacé l'un des TorGuard’affilié de s pour éliminer les connotations négatives sur son produit, après avoir identifié une vulnérabilité.

“Même si vous niez la vérité, la vérité continue d'exister.” - George Orwell pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27 juin 2019

En tant que tel, cela peut se demander si NordVPN s'est uniquement concentré sur sa marque (même si elle est mentionnée par Think With Google), sans prioriser les aspects de la sécurité, malgré sa commercialisation rigoureuse pour le même.

Aussi, un avertissement juste à tous ceux qui travaillent dans l'industrie de la cybersécurité, NE JAMAIS annoncer que vous pouvez’t être piraté. Twitterati’s vous entraînera dans la boue pour de telles déclarations. Mes sympathies pour le service marketing de NordVPN.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me