NordVPN承認它已被黑客入侵

NordVPN是最著名和最受尊敬的消費者VPN提供商之一，已確認其一台服務器未經授權就被訪問。

在NordVPN在Twitter上發布了一個相當衝動和愚蠢的聲明之後，這個故事破裂了。

twitterverse並沒有聲明事實，而是將其視為挑戰，不久之後，一個自稱KekSec的組織透露黑客已經訪問了服務器，並洩露了Nord的OpenVPN配置以及相關的私鑰以及TLS證書。

NordVPN現在已經承認該漏洞，並指出攻擊者通過利用數據中心提供商留下的不安全的遠程管理系統來訪問芬蘭的一台租用服務器。

背景

2018年3月，屬於8VPN的NordVPN，VikingVPN和TorGuard Web服務器的TLS證書已發布。這些證書現已過期，但在發佈時是最新的。儘管NordVPN努力淡化該漏洞，但該出版物毫無疑問地證明了NordVPN在過去的某個時候已經受到損害。

獲得這些證書的人必須具有對受影響服務器的Web容器的根訪問權限，因此將對服務器具有完全控制權，包括嗅探和篡改通過它們的數據的能力。

從理論上講，這也意味著任何人都可以建立一個虛擬網站，聲稱它屬於NordVPN，VikingVPN或TorGuard，而您的瀏覽器會認為它們是真實的。確實，有人甚至發布了這樣的攻擊實例：

但是，NordVPN告訴我們，除非攻擊者能夠入侵用戶的計算機或攔截並修改他們的網絡流量，否則這種MitM攻擊是不可能的。

更大的問題

很明顯，NordVPN的OpenVPN證書的專用SSL密鑰“也幾乎沒有引起人們的注意”。 kes！這加劇了人們的猜測，即攻擊者可以解密用戶的VPN會話，包括過去的VPN會話，從而使他們可以查看NordVPN客戶上網了什麼。

同樣，NordVPN渴望將冷水倒入這個想法。他們告訴ProPrivacy：“ TLS證書或VPN密鑰均不能用於解密常規VPN流量或以前記錄的VPN會話。”

值得記住的是，在TLS密鑰交換期間，NordVPN的OpenVPN會話通過DHE-2096 Diffie-Hellman密鑰使用了完美的前向保密性（臨時加密密鑰）。因此，即使在花費大量金錢，精力和計算能力的情況下強行強行強制VPN會話，在更改密鑰之前，只有一個小時的VPN會話會受到損害。

儘管由於攻擊者顯然具有對VPN服務器的根訪問權限，所以這一點可能沒有意義。

怪遊戲

NordVPN已發布有關此事件的官方聲明，其中說明只有芬蘭一台服務器受到影響。這也說明故障在於服務器中心人員：

“攻擊者通過利用數據中心提供商留下的不安全的遠程管理系統來訪問服務器。我們不知道這樣的系統存在。”

但是，我們不得不說，我們覺得像NordVPN一樣大的公司應該派出自己的技術人員來設置自己的裸機VPN服務器，而不是依靠可能不值得信任的第三方服務器人員來設置其VPN服務器。

我們認為，VPN服務應完全控制其服務器。這樣做對於加強VPN服務器網絡抵御所有威脅將大有幫助。有趣的是，這也是有關服務器中心首席執行官Niko Viskari的觀點：

“是的，我們可以確認（Nord）是我們的客戶，”維斯卡里（Viskari）告訴《 The Register》。 “而且他們的安全性有問題，因為他們自己不照顧它。

...他們的安全性有問題，因為他們自己不照顧它

尼科·維斯卡里（Niko Viskari）

他說：“我們有很多客戶，其中有一些大型VPN服務提供商，他們非常重視安全性，”他補充說：“ NordVPN似乎並沒有更多地關注安全性，因此嘗試以某種方式來解決這個問題。在我們的肩膀上。”

Viskari在其聲明中繼續解釋說，他公司提供的所有服務器都使用iLO或iDRAC遠程訪問工具。這些安全性問題有時會出現，但是服務器中心會使用來自HP和Dell的最新固件更新為它們打補丁。

與其他客戶不同的是，NordVPN並沒有要求將這些工具“放置在專用網內部或關閉端口，直到需要時”加以限制。

就其本身而言，NordVPN聲稱甚至不知道這些工具的存在。但是，如果它設置了自己的服務器，就永遠不會出現問題。

“我們沒有立即披露該漏洞利用程序，因為我們必須確保我們的基礎架構都不會出現類似問題。”

但這並不能解釋為什麼這個問題需要花大約18個月的時間才能揭曉，而NordVPN只是在Twitterstorm之後才承認這一點，Twitterstorm看到在互聯網上廣泛發布了該死的證據。

歸根結底，對NordVPN的聲譽造成的損害要大於對其用戶隱私的損害。

該提供商在聲明中說：“儘管我們當時擁有的3000台服務器中只有1台受到了影響，但我們並沒有試圖破壞問題的嚴重性。”

我們通過與不可靠的服務器提供商簽約而失敗，並且應該做得更好以確保客戶的安全

“我們與不可靠的服務器提供商簽約失敗，應該做得更好，以確保客戶的安全。我們正在採取一切必要手段來增強我們的安全性。我們已經接受了應用程序安全審核，正在嘗試第二次無日誌記錄現在進行審核，並正在準備一個漏洞懸賞計劃。我們將全力以赴，以最大限度地提高服務各個方面的安全性；明年，我們將對所有基礎架構進行獨立的外部審核，以確保我們不會錯過任何內容其他。”

ProPrivacy聲明

ProPrivacy致力於為用戶提供值得信賴的建議。由於我們提供的出色服務，我們經常將NordVPN納入我們的建議中。鑑於這一重大事件，我們將在與安全和隱私相關的文章中刪除NordVPN，直到我們確信它們的服務符合我們和讀者的期望為止。