Megszerezték a NordVPN egyes titkosítási kulcsait

Ismeretlen támadók szereztek hozzáférést a NordVPN egyik szerveréhez egy finnországi adatközpontban. A behatolást a VPN szolgáltató is megerősítette, ahogy a cég blogposztjában beszámolt róla, a támadásra néhány hónappal ezelőtt lett figyelmes - noha azt ismeretlen harmadik felek jóval korábban, 2018 márciusában hajtották végre. A támadásban felhasználói adatok nem kerültek veszélybe, bizonyos titkosítási kulcsokat azonban megszereztek támadók.

A NordVPN szerint az illetéktelen hozzáférést egy sérülékeny távoli hozzáférési funkció tette lehetővé, amelyet az adatközpont tulajdonosa hagyott a rendszerben, és amelynek létezéséről a VPN szolgáltatónak nem volt tudomása. A vállalat nyilatkozata szerint egészen idáig azért nem számolt be az adatszivárgásról, mert meg akart bizonyosodni róla, hogy infrastruktúrájának más részeit nem fenyegetik hasonló biztonsági kockázatok.

Két hónapig szabad volt a bejárás

A cég beszámolója alapján az érintett szerver 2018. január 31-én állt munkába, abban pedig a nyitva hagyott, távoli elérési fiókot az adatközpont üzemeltetői szűk két hónappal később, március 20-án szúrták ki, és törölték - a VPN szolgáltató bármilyen értesítése nélkül. A NordVPN szakértői így csak néhány hónappal ezelőtt vették észre a hibát, ezt követően a cég teljes szerverhálózatát auditálta, illetve felgyorsította szerverei titkosítását is. Az Ars Technica arról beszél, az érintett szerverről kiszivárgott adatok online fórumokon legalább 2018 májusa óta elérhetők voltak.

A cég siet hangsúlyozni, hogy az érintett szerveren nem tárolt felhasználói tevékenységnaplókat, illetve miután egyetlen alkalmazása sem továbbít a felhasználók által létrehozott azonosítási információkat, így felhasználóneveket vagy jelszavakat sem szerezhettek meg a támadók - TLS kulcsokhoz azonban hozzáfértek. Az Ars Techncia információi szerint összesen három privát kulcsról van szó, amelyek egyike a nordvpn.com weboldal HTTPS titkosítását biztosító tanúsítványhoz tartozott - és csak mintegy hét hónappal a támadást követően, 2018 októberében járt le. A másik két kulcs a lap szerint a NordVPN egyik privát tanúsítványkibocsátójához tartozott, a harmadik pedig lehetséges, hogy maga az érintett szerver védelmét biztosította. Bár szolgáltató posztjában kiemeli, hogy a lejárt TLS kulccsal a támadók más szervereihez nem férhettek hozzá, a két másik, kiszivárgott kulcsról nem tesz említést.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Ha tehát felhasználói adatokhoz nem is fértek hozzá illetéktelenek míg nyitva állt a biztonsági rés, a fenti titkosítási kulcsok birtokában is okozhattak károkat. Azt a vállalat is elismeri, hogy bár többi szerverét nem érinti az ügy, az eset így is nyitva hagyja a közbeékelődéses támadások lehetőségét. Bár a cég szerint aránylag komplikált megoldásról van szó, célzott támadásokhoz a megszerzett titkosítási kulcsok egy ideig még bevethetők voltak, a nordvpn.com egyes látogatói ellen. Az Ars Technica által idézett biztonsági szakértők szerint ugyanakkor a TLS forgalom elcsípése nem olyan összetett feladat, mint azt a VPN szolgáltató sugallja, noha tény, hogy a támadónak hozzá kell férnie a kiszemelt áldozat adatforgalmához - erre azonban például egy nyílt Wi-Fi hálózaton könnyen lehetősége nyílhat.

Miután a támadásra, illetve az azt lehetővé tevő adatközponti sebezhetőségre fény derült, a NordVPN felmondta szerződését az adatközponttal, továbbá biztosította felhasználóit, hogy hálózatán nem maradtak hasonló biztonsági rések - a cég mindenesetre már szigorúbb védelmi elvárásokat támaszt infrastruktúra-szolgáltatói felé. A vállalat egyébként a fiaskó ideje alatt összesen több mint háromezer szervert használt. A NordVPN a hasonló problémák kivédésére jelenleg is több, párhuzamos biztonsági auditot is folytat, jövőre pedig egy külső féllel is ellenőrizteti majd teljes infrastruktúráját.