I det seneste af skandaler er NordVPN i brand på Twitter og Reddit, når der bryder ud nyheder om dem, der bliver hacket. For en tjeneste, der i det længste viser sig som en sikkerhedsmaksimalist; ironien har skabt et miljø med kolde forbrændinger for Nord’s brugere.

Før jeg går nærmere ind på detaljerne, jeg’vil jeg gerne nævne, at BestVPN.co har fjernet udbyderen fra vores anbefalede lister, indtil vi ikke modtager et ordentligt svar (et, der giver mening) fra Nord angående denne forfærdelige hændelse.

Noget baggrund i NordVPN-hacket

Nyhederne fik typisk prominens efter TechCrunch’s indlæg “NordVPN bekræfter, at det blev hacket“. Diskussionen og påstandene begyndte imidlertid fra Twitter; efter at NordVPN selv inviterede til problemer ved at udløse InfoSec-samfundet.

Denne tweet var stort set alt, hvad det krævede for udbyderen at komme i rampelyset for de forkerte mennesker. Kort efter at den gik live, gav twitterbrugeren @le_keksec et svar, der indikerede, at NordVPN muligvis er blevet hacket på et tidspunkt, da deres private nøgler blev lækket.

Keksec bekræftede, at dette ikke var deres arbejde, og disse private nøgler flydede bare ubemærket rundt på internettet (wow).

De delte endda linket til de private nøgler via share.dmca, hvorefter twitterbrugeren @hexdefined verificerede, at NordVPN faktisk var blevet kompromitteret. Han frigav endda certifikatet, der matcher den private nøgle: https://crt.sh/?id=10031443

Så tilsyneladende blev NordVPN på et tidspunkt kompromitteret. Deres (udløbne) private nøgler er lækket, hvilket betyder, at enhver bare kan oprette en server med disse nøgler… pic.twitter.com/TOap6NyvNy

– undefined (@hexdefined) 20. oktober 2023

Da jeg dykkede nærmere ind i emnet, kom det frem, at NordVPN havde ansat de utroligt svage 2048 bit Diffie-Hellman Params, og at trafik under hack kunne have været dekrypteret i mindst en time, der påvirker over 50-200 Nord-brugere.

jeg’Vi har også set den lækage, de brugte 2048-bit dh-param, men uden at indstille reneg-sec er standardindstillingen 1 time. Så på hacktidspunktet kunne trafik for op til en time siden have været dekrypteret.

– ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 20. oktober 2023

Efter alle disse “beskyldninger”  på Twitter frigav NordVPN en serie med tre tweets, hvor de hævdede, at deres marketingafdeling kom foran sig selv med overstatementet ovenfor, og at de snart vil give en officiel erklæring.

Efter disse tweets frigav NordVPN deres officielle erklæring, hvor de siger, at overtrædelsen kun berørte “EN ENKEL SERVER” og ikke hele tjenesten, efterfulgt af påstande om, at TechCrunch’s “antagelser” er unøjagtige.

Blame-spillet mellem Nord og Creanova (Datacenter)

Hacket påvirkede også to andre VPN-tjenester; TorGuard og VikingVPN. Sidstnævnte og NordVPN praktiserede ikke sikker PKI-ledelse, mens TorGuard beskæftigede den.

Dette er en af ​​grundene til, at ingen af ​​deres VPN-brugere blev påvirket af denne overtrædelse, og deres CA-nøgle ikke blev stjålet, da den ikke var til stede på den kompromitterede server.

https://t.co/maZBOR6FVD er kilden. Indeholder også nogle hacks af VikingVPN og TorGuard. VikingVPN var heller ikke’t øve på sikker PKI-styring. TorGuard var dog. Det sidste link i dette indlæg ser ud til at være 8chan i sig selv, som havde udsat en .bash_history.

– ‍ ‍‍‍ᓭ cryptostorm ᓯ (@cryptostorm_is) 21. oktober 2023

Vi vil dog tale om det senere, som lige nu NordVPN’s svar skal adresseres. De sagde, “Vi blev opmærksomme på, at man i marts 2023 fik adgang til en af ​​datacentre i Finland, vi havde lejet vores servere fra, uden tilladelse.

Angriberen fik adgang til serveren ved at udnytte et usikkert fjernadministrationssystem, der blev efterladt af datacenterudbyderen, mens vi ikke var klar over, at et sådant system eksisterede.”

Tilsyneladende er det sådan, hvor NordVPN blev hacket (standardoplysninger på en eksponeret iDRAC-webgrænseflade) pic.twitter.com/09QCYQvBYX

– Nathan &# 55356;&# 57.331; ️&# 55356;&# 57.096; (@NathOnSecurity) 21. oktober 2023

NordVPN sagde, at de kort efter denne hændelse lancerede en grundig intern revision og skabte en proces til at flytte alle deres servere til en RAM-infrastruktur, svarende til ExpressVPN’s TrustedServer infrastruktur og teknologi.

Læsning af den officielle erklæring var der to takeaways; NordVPN bekræftede kun nyheder om hacket, efter at det blev opdaget på Twitter (krænkede GDPR’s politik for overtrædelse af data), og de lægger meget af skylden på tredjeparts datacentre, Creanova!

Nord krænkede GDPR ved at bekræfte overtrædelsen den 20. oktober, da det faktisk skete i marts 2023. For det andet satte skylden på Creanova, der hævder, at NordVPN er den, der faktisk er skødesløs over for sikkerhed.

Efter at udsagnet ovenfor spredte sig som et ildsted, ramte NordVPN tilbage på Creanova med bevis for, at fjernstyringssoftwaren (hackerne til sidst blev brudt) blev installeret uden deres viden.

Hvem’s den, der faktisk er ved fejl?

Som VPN-korrekturlæser anser jeg denne situation for utroligt alarmerende og vil placere mere ansvar i hænderne på Nord, især når du tager højde for dets vigtigste salgsargument; hvor sikkert deres produkt er (og hvordan det blev placeret øverst på CNet, PCMag og TechRadar).

For ikke at nævne, de var også tidligere involveret i en retssag indgivet af TorGuard efter et bug-bounty-program. Tilsyneladende truede Nord en af ​​TorGuard’s tilknyttet til at nedtage negative konnotationer om deres produkt, efter at have identificeret en sårbarhed.

“Hvor meget du dog benægter sandheden, sandheden fortsætter med eksisterende.” – George Orwell pic.twitter.com/tKRvLFtJFE

– TorGuard (@TorGuard) 27. juni 2023

Som sådan kan dette muligvis undre sig, om NordVPN kun har fokuseret på sin branding (endda at blive nævnt af Think With Google) uden at prioritere aspekter af sikkerhed, på trods af at det markedsføres strengt for det samme.

Også en retfærdig advarsel til andre, der arbejder inden for cybersikkerhedsbranchen, ALDRIG reklamere for, at du kan’t blive hacket. Twitterati’s trækker dig gennem mudderet for sådanne fejne udsagn. Min sympati for marketingafdelingen for NordVPN.