NordVPN conferma che un utente malintenzionato ha violato un server della Finlandia noleggiato

22 Ottobre 2019

Lunedì NordVPN ha confermato che un utente malintenzionato ha violato un server noleggiato da un centro dati con sede in Finlandia. La società, che ha descritto l’evento come un attacco piuttosto che un attacco più comune, afferma che la violazione è avvenuta a marzo 2018, ma l’attaccante non ha recuperato alcuna informazione sui clienti.

“L’aggressore ha ottenuto l’accesso al server sfruttando un sistema di gestione remota insicuro lasciato dal fornitore del data center mentre non eravamo consapevoli dell’esistenza di un tale sistema”, riferisce la società. “Il server stesso non conteneva alcun registro delle attività dell’utente; nessuna delle nostre applicazioni invia credenziali create dall’utente per l’autenticazione, quindi neanche i nomi utente e le password possono essere intercettati. ”

Il server in questione è stato online il 31 gennaio 2018. La società senza nome che gestisce il data center avrebbe scoperto che il suo account di gestione remota vulnerabile è rimasto sul server noleggiato e lo ha eliminato il 28 marzo 2018, senza informare NordVPN. Il noto provider VPN non sapeva nemmeno che questo account esistesse fino a “pochi mesi fa”.

Una rete privata virtuale o VPN crea un “tunnel” sicuro su Internet. Queste connessioni erano originariamente destinate ai dipendenti per connettersi in remoto alle reti aziendali. Ma ora i servizi VPN sono disponibili per le masse per accedere a contenuti con restrizioni regionali e rimanere anonimi online. I clienti si connettono essenzialmente a un server remoto e usano la sua connessione per navigare in Internet, nascondendo il loro indirizzo online nel processo.

Sebbene il tuo fornitore di servizi Internet non possa registrare la tua attività mentre utilizza una VPN , non vi è alcuna garanzia che i fornitori di servizi VPN stessi non stiano tenendo traccia dei tuoi viaggi online. NordVPN afferma di non conservare i registri, tuttavia, inclusi “timestamp di connessione, informazioni sulla sessione, larghezza di banda utilizzata, dati sul traffico, indirizzi IP o altri dati”.

NordVPN afferma di non aver rivelato immediatamente la violazione a causa della sua lunga indagine su tutta la sua infrastruttura.

“Dovevamo assicurarci che nessuna delle nostre infrastrutture potesse essere soggetta a problemi simili”, riferisce l’azienda. “Non è stato possibile farlo rapidamente a causa dell’enorme quantità di server e della complessità della nostra infrastruttura.”

L’ avviso di sicurezza arriva dopo che sono emerse segnalazioni secondo cui gli aggressori hanno violato NordVPN e ottenuto una chiave di sicurezza del livello di trasporto scaduta. NordVPN afferma che l’attaccante ha recuperato questa chiave durante la violazione, ma non può essere utilizzata per decrittografare il traffico VPN su altri server. Invece, l’attaccante potrebbe creare un falso server NordVPN per reindirizzare il traffico e lanciare un attacco man-in-the-middle su una singola connessione.

NordVPN afferma che oltre 3.000 server eseguono il suo servizio VPN. In questa situazione, ha contratto un “fornitore di server inaffidabile”, e questo è stato un “caso isolato”. La società ha annullato il suo contratto e “distrutto” tutti i server noleggiati attraverso il fornitore senza nome.