Hakowany NordVPN: kolejny gryzie kurz?

Zhakowany NordVPN


W najnowszym skandalu NordVPN jest w płomieniach na Twitterze i Reddit, gdy pojawiają się wiadomości o tym, że zostały zhakowane. Dla usługi reklamującej się jako maksymalista bezpieczeństwa najdłużej; ironia stworzyła Nordowi środowisko zimnych oparzeń’s użytkownicy.

Zanim przejdę do szczegółów, ja’chciałbym wspomnieć, że BestVPN.co usunął dostawcę z naszych rekomendowanych ofert, dopóki nie otrzymamy od Nord właściwej odpowiedzi na ten okropny incydent (takiej, która ma sens).

Trochę tła do włamania do NordVPN

Wiadomości zwykle zyskały na znaczeniu po TechCrunchu’s post “NordVPN potwierdza, że ​​został zhakowany“. Jednak dyskusja i zarzuty zaczęły się od Twittera; po tym, jak NordVPN sam zaprosił problemy, uruchamiając społeczność InfoSec.

NordVPN podpisuje nakaz śmierci

Ten tweet wystarczył, aby dostawca znalazł się w centrum uwagi niewłaściwych ludzi. Wkrótce po uruchomieniu, użytkownik Twittera @le_keksec udzielił odpowiedzi wskazującej, że NordVPN mógł zostać zhakowany w pewnym momencie, ponieważ wyciekły jego klucze prywatne.

NordVPN Prywatne klucze pływające online

Keksec potwierdził, że to nie ich praca, a te prywatne klucze unosiły się niezauważone w Internecie (wow).

Udostępnili nawet link do kluczy prywatnych za pośrednictwem share.dmca, po czym użytkownik Twittera @hexdefined potwierdził, że NordVPN rzeczywiście został przejęty. Wydał nawet certyfikat pasujący do klucza prywatnego: https://crt.sh/?id=10031443

Więc najwyraźniej NordVPN został w pewnym momencie skompromitowany. Wyciekły ich (wygasłe) klucze prywatne, co oznacza, że ​​każdy może po prostu skonfigurować serwer z tymi kluczami… pic.twitter.com/TOap6NyvNy

- undefined (@hexdefined) 20 października 2019 r

Gdy zagłębiłem się w problem, wyszło na jaw, że NordVPN zastosował niezwykle słaby 2048-bitowy Diffie-Hellman Params i że ruch podczas włamania mógł zostać odszyfrowany przez co najmniej godzinę, wpływając na ponad 50-200 użytkowników Nord.

ja’Widzieliśmy również ten wyciek, używali 2048-bitowych parametrów dh, ale bez ustawienia reneg-sec domyślnie wynosi 1 godzinę. W momencie włamania ruch sprzed godziny mógł zostać odszyfrowany.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 20 października 2019 r

Po tych wszystkich “oskarżenia”  na Twitterze NordVPN opublikował serię trzech tweetów, twierdząc, że ich dział marketingu wyprzedził powyższe zawyżenie i że wkrótce przekaże oficjalne oświadczenie.

NordVPN Odpowiadanie na zawyżenie

Po tych tweetach NordVPN opublikował swoje oficjalne oświadczenie, w którym stwierdza, że ​​naruszenie dotyczy tylko “JEDEN SERWER” a nie cała usługa, a następnie twierdzenia, że ​​TechCrunch’s “założenia” są niedokładne.

The Blame Game Between Nord and Creanova (Data Center)

Włamanie wpłynęło również na dwie inne usługi VPN; TorGuard i VikingVPN. Te ostatnie i NordVPN nie ćwiczyły bezpiecznego zarządzania PKI, podczas gdy TorGuard je stosował.

Jest to jeden z powodów, dla których żaden z ich użytkowników VPN nie został dotknięty tym naruszeniem, a ich klucz CA nie został skradziony, ponieważ nie był obecny na zainfekowanym serwerze.

https://t.co/maZBOR6FVD jest źródłem. Obejmuje także niektóre hacki VikingVPN i TorGuard. VikingVPN również nie był’ćwiczy bezpieczne zarządzanie PKI. Jednak TorGuard. Ostatni link w tym poście wydaje się być 8chan, w którym ujawniono historię .bash_history.

- ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 21 października 2019 r

Porozmawiamy jednak o tym później, podobnie jak teraz NordVPN’odpowiedź wymaga odpowiedzi. Stwierdzili, “Dowiedzieliśmy się, że w marcu 2018 r. Do jednego z centrów danych w Finlandii, w którym wynajmowaliśmy nasze serwery, uzyskano dostęp bez autoryzacji.

Osoba atakująca uzyskała dostęp do serwera, wykorzystując niepewny system zdalnego zarządzania pozostawiony przez dostawcę centrum danych, gdy nie byliśmy świadomi istnienia takiego systemu.”

Najwyraźniej w ten sposób włamano się do NordVPN (Domyślne dane uwierzytelniające w widocznym interfejsie sieciowym iDRAC) pic.twitter.com/09QCYQvBYX

- Nathan &# 55356;&# 57331; ️‍&# 55356;&# 57096; (@NathOnSecurity) 21 października 2019 r

NordVPN powiedział, że wkrótce po tym incydencie przeprowadzili dokładny audyt wewnętrzny i stworzyli proces przeniesienia wszystkich swoich serwerów do infrastruktury RAM, podobnej do ExpressVPN’s Infrastruktura i technologia TrustedServer.

Czytając oficjalne oświadczenie, były dwa dania na wynos; NordVPN potwierdził wiadomości o włamaniu dopiero po wykryciu go na Twitterze (naruszając RODO’(polityka ochrony danych)), a oni w dużej mierze obwiniają centrum danych firmy Creanova!

Nord naruszył RODO, potwierdzając naruszenie w dniu 20 października, kiedy to faktycznie miało miejsce w marcu 2018 r. Po drugie, zrzuć winę na Creanova, która twierdzi, że NordVPN jest tym, który właściwie nie dba o bezpieczeństwo.

Oświadczenie CreaNova dotyczące naruszenia

Po tym, jak powyższe stwierdzenie rozprzestrzeniło się jak pożar, NordVPN odpowiedział na Creanova z dowodem, że oprogramowanie do zdalnego zarządzania (hakerzy ostatecznie złamali) zostało zainstalowane bez ich wiedzy.

Odpowiedź NordVPN na Creanova

Kto’Ten, który faktycznie ma awarię?

Jako recenzent VPN uważam tę sytuację za niezwykle niepokojącą i postawiłbym większą odpowiedzialność z rąk Nord, zwłaszcza jeśli weźmiesz pod uwagę jego główną zaletę; jak bezpieczny jest ich produkt (i jak został umieszczony na szczycie w CNet, PCMag i TechRadar).

Nie wspominając o tym, że byli oni wcześniej zaangażowani w proces złożony przez TorGuard, w następstwie programu nagrody za błędy. Najwyraźniej Nord zagroził jednemu z TorGuard’podmiot stowarzyszony, aby usunąć negatywne skojarzenia dotyczące swojego produktu, po zidentyfikowaniu luki w zabezpieczeniach.

“Jakkolwiek zaprzeczacie prawdzie, prawda trwa nadal.” - George Orwell pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27 czerwca 2019 r

W związku z tym można się zastanawiać, czy NordVPN skupił się tylko na brandingu (nawet wspomniany przez Think With Google), bez priorytetowego traktowania aspektów bezpieczeństwa, pomimo rygorystycznego marketingu dla tego samego..

Ponadto, uczciwe ostrzeżenie dla innych pracujących w branży bezpieczeństwa cybernetycznego, NIGDY nie reklamuj tego, co możesz’zostać zhakowanym. Twitterati’s przeciągnie cię przez błoto, aby uzyskać takie zamiatające wypowiedzi. Moje współczucie dla działu marketingu NordVPN.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me