Компания NordVPN подтвердила факт взлома и утечки внутренних приватных ключей сети. Злоумышленники могли создавать поддельные сервера и перехватывать трафик клиентов компании. Репутации NordVPN, как самого безопасного, стабильного и заботящегося о приватности пользователей провайдера виртуальных частных сетей был нанесен серьезный ущерб.
В понедельник, 21 октября, в Twitter появилось обсуждение утечки внутренних ключей шифрования с истекшим сроком действия. Как удалось выяснить порталу TechCrunch, данные были получены злоумышленниками в результате взлома одного из серверов NordVPN в марте 2018. Хакеры получили к нему доступ воспользовавшись уязвимостью системы удаленного управления неназванного провайдера, на мощностях которого располагался сервер. Представители VPN-сервиса сообщили, что обстоятельства инцидента им известны, но до окончания разбирательства и принятия всех возможных мер повышения безопасности опубликовать их нельзя.
Виртуальные частные сети (VPN) позволяют любому пользователю создавать защищенные неотслеживаемые соединения. Это необходимо при наличии цензуры в стране, а также для повышения безопасности доступа к удаленным хранилищам данных. Провайдер VPN предоставляет «туннель» от клиента к своему серверу, а затем к целевому сайту или сервису. Многие компании для анализа и модерации, либо с целью предоставить таргетированную рекламу собирают данные своих клиентов, в том числе историю всех действий. В рекламе NordVPN всегда делался акцент не только на безопасность любых соединений через каналы этого провайдера, но и на полное отсутствие отслеживания действий пользователей.
Упрощенная схема работы VPN
Комментируя обнаруженную брешь в защите, представители NordVPN отметили, что никаких личных данных злоумышленники получить не могли. Весь трафик обезличен и зашифрован, могла быть совершена только целенаправленная атака «человек посередине» (man-in-the-middle). То есть, хакеры должны были создать поддельный сервер, точно знать IP-адреса целевого сайта и пользовтеля, а также успеть оперативно обработать пакеты данных, чтобы их подмена, дешифровка и анализ не вызвали критичную задержку. Тем не менее, сам факт взлома и доступа к таким важным элементам криптографии, как приватные внутренние ключи шифрования полностью компрометирует сервис NordVPN.
Под удар попал не только NordVPN, но и другие провайдеры виртуальных сетей, чьи сервера располагались в атакованном дата-центре: TorGuard и VikingVPN. Оба сервиса также заявили о работах над анализом утечки, предотвращению ее повторения, а также о том, что урона клиентам нанесено не было. TechCrunch обратился к специалисту в области безопасности данных и криптоанализа. Собеседник, пожелавший остаться анонимным из-за политики компании в плане работы с прессой, поделился еще более неприятными подробностями. По его словам, есть основания предполагать, что трафик все же мог быть дешифрован и перехвачен. Более того, нет никаких гарантий, что провайдер оперативно сменил приватные ключи и злоумышленник не сохранил доступ до сих пор.