NordVPN-, TorGuard- und VikingVPN-Server im März 2018 gehackt AKTUALISIERUNG: NordVPN und Creanova antworten

Update 23. Oktober 09:57 UTC: NordVPN hat sich direkt an die Presse gewandt, um die Feinheiten der Geschichte zu klären.

Während die Mehrzahl der angesprochenen Punkte bereits bekannt war, hat sich der zeitliche Ablauf der Ereignisse geändert.

Ein NordVPN-Sprecher sagte uns Folgendes:

„Der betroffene Server wurde am 31. Januar 2018 online geschaltet.

Die Beweise für den Verstoß wurden am 5. März 2018 veröffentlicht. Weitere Beweise deuten darauf hin, dass diese Informationen erst kurz nach dem tatsächlichen Auftreten des Verstoßes verfügbar wurden.

„Das Potenzial für den nicht autorisierten Zugriff auf unseren Server wurde eingeschränkt, als das Rechenzentrum am 20. März 2018 das nicht offen gelegte Verwaltungskonto löschte.

“Der Server wurde am 13. April 2019 geschreddert – in dem Moment, als wir einen möglichen Verstoß vermuteten.”

Zuvor hatte NordVPN behauptet, dass sie zum ersten Mal im April dieses Jahres Kenntnis von dem Verstoß erlangt habe – es scheint nun, dass sie zum ersten Mal im März 2018 einen Verstoß mehr als ein Jahr zuvor vermutete.

Wir haben NordVPN mit weiteren Fragen beantwortet.

–

Update 22. Oktober, 16:48 UTC: NordVPN gibt an, dass Creanova, ein Rechenzentrumsunternehmen, von dem NordVPN Server in Finnland gemietet hat, für den Datenverstoß im März 2018 verantwortlich war, der auf „sehr schlechte Sicherheitspraktiken“ zurückzuführen ist.

Niko Viskari, CEO von Creanova, antwortete im Gespräch mit einem Bloomberg-Reporter: „Wir können bestätigen, dass [NordVPN] unsere Kunden sind. Und sie hatten ein Problem mit der Sicherheit, aber weil sie sich nicht selbst um die Sicherheit kümmern. “

Viskari bestätigte, dass die Server von Creanova Remotezugriffstools enthalten, die “von Zeit zu Zeit Sicherheitsprobleme haben”.

Aber er behauptete, dass: “Wir haben viele Kunden und einige große VPN-Anbieter, die sich um die Sicherheit kümmern … Sie schenken dem mehr Aufmerksamkeit als NordVPN.”

Laut Viskari verlangen die meisten VPN-Anbieter, dass RAS-Ports in private Netzwerke eingebunden oder vollständig heruntergefahren werden, bis sie benötigt werden. Er behauptet, NordVPN sei fahrlässig gewesen und habe Creanova zu Unrecht die Schuld für den Verstoß gegeben.

NordVPN hat auf die Aussage von Viskari geantwortet, dass Creanova “ohne unser Wissen eine Fernverwaltungslösung installiert” habe.

Zum Zeitpunkt der Veröffentlichung lautet der kanarische Haftbefehl von NordVPN wie folgt: „Wir, NordVPN, bestätigen, dass wir die vollständige Kontrolle über unsere Infrastruktur übernehmen. Es wurde nie kompromittiert oder hat einen Datenverstoß erlitten. “Angesichts der Enthüllungen der letzten Tage scheinen diese beiden Sätze nicht vollständig kompatibel zu sein.

Es folgt unsere ursprüngliche Geschichte, die erstmals am 21. Oktober 2019 veröffentlicht wurde.

–

NordVPN hat Vorwürfe bestätigt, dass einer seiner Server im März 2018 gehackt wurde.

In der offiziellen Erklärung von NordVPN sagte Sprecher Daniel Markuson: „Im März 2018 wurde auf eines der Rechenzentren in Finnland, von denen wir unsere Server gemietet hatten, ohne Genehmigung zugegriffen.“

Der anonyme 8-Kanal-Benutzer, der den NordVPN-Schlüssel enthüllte, veröffentlichte auch Links zu OpenVPN-Schlüsseln für Server der VPN-Anbieter Torguard und VikingVPN.

In einer eigenen Erklärung zu dem Leck sagte TorGuard: „TorGuard wurde zum ersten Mal im Mai 2019 auf diese Offenlegung aufmerksam. Der einzige kompromittierte TorGuard-Server wurde Anfang 2018 aus unserem Netzwerk entfernt und wir haben seitdem alle Geschäfte mit dem zugehörigen Hosting beendet Wiederverkäufer wegen wiederholter verdächtiger Aktivitäten. “

Weder NordVPN noch TorGuard haben die Identität des Hosting-Wiederverkäufers offengelegt, aber TorGuard behauptet: “Dieser Server wurde nicht von außen kompromittiert und es gab keine Bedrohung für andere TorGuard-Server oder -Benutzer.”

Laut NordVPN wurde auf den Server zugegriffen, indem ein unsicheres Fernverwaltungssystem ausgenutzt wurde, das vom Rechenzentrumsanbieter hinterlassen wurde.

Markuson sagte: „Der Server selbst enthielt keine Benutzeraktivitätsprotokolle. Keine unserer Anwendungen sendet vom Benutzer erstellte Anmeldeinformationen zur Authentifizierung, sodass Benutzernamen und Kennwörter ebenfalls nicht abgefangen werden konnten. “

Er stellte klar, dass der Schlüssel nicht zum Entschlüsseln des VPN-Datenverkehrs auf einem anderen Server verwendet werden konnte und dass keine anderen Server von dieser bestimmten Sicherheitsverletzung betroffen waren.

Laura Tyrell, Sprecherin von TechCrunch NordVPN, sagte: “Die einzige Möglichkeit, den Website-Verkehr zu missbrauchen, bestand darin, einen personalisierten und komplizierten Man-in-the-Middle-Angriff durchzuführen, um eine einzelne Verbindung abzufangen, die versucht, auf NordVPN zuzugreifen.”

Ein Man-in-the-Middle-Angriff ist eine schwerwiegende Sicherheitsverletzung, durch die Dritte die Kommunikation zwischen dem Benutzer und dem Server abhören, abfangen oder sogar ändern können.

Die Sicherheitsverletzung trat im März 2018 auf, und Anfang Mai 2018 wurden Links zum umstrittenen und jetzt offline verfügbaren Message Board 8chan veröffentlicht.

NordVPN behauptet jedoch, nur über die Verstöße in den „letzten Monaten“ Bescheid gewusst zu haben.

Informationen zu den Lecks wurden gestern Morgen, dem 20. Oktober 2019, von Twitter-Benutzer @hexdefined veröffentlicht, offenbar als Antwort auf einen seitdem gelöschten Beitrag von NordVPN, in dem es heißt: „Kein Hacker kann Ihr Online-Leben stehlen. (Wenn Sie VPN verwenden). Bleib sicher.”

Der gelöschte Tweet von NordVPN

Auf Twitter behauptete NordVPN, dass dieser Beitrag entfernt wurde, “nicht weil wir gehofft hatten, die Diskussion zu beenden … wir haben ihn entfernt, weil der Text keine redaktionelle Kontrolle hatte.”

Erläutern, warum das Unternehmen bis heute auf die Veröffentlichung von Informationen über das Leck gewartet hat, sagte Tyrell, NordVPN wolle warten, bis “100% sicher sind, dass jede Komponente in unserer Infrastruktur sicher ist”. Sie bezog sich nicht auf die Geschichte, die auf Twitter verbreitet wurde über den vorherigen Tag.

Simon Migliano, Head of Research bei Top10VPN.com, erklärte, dass NordVPN es versäumt habe, seine Kenntnis von dem Leck vertraulich zu behandeln: „Die Nachricht, dass NordVPN und Torguard 2018 gehackt wurden, ist sehr alarmierend, und es sieht so aus, als ob beide VPN-Unternehmen haben einige der gemieteten Server in ihren Servernetzwerken unzureichend überprüft.

„Obwohl nur einer der NordVPN-Server defekt war, hätte dieser Vorfall eigentlich nie passieren dürfen.

„Abgesehen von Sicherheitsbedenken ist es auch enttäuschend zu erfahren, dass NordVPN von der Sicherheitsverletzung ‘vor einigen Monaten’ wusste, sich jedoch entschied, seine Kunden nicht darüber zu informieren. Wir sind uns darüber im Klaren, dass die Durchführung einer umfassenden Sicherheitsüberprüfung einige Zeit in Anspruch nimmt, um sicherzustellen, dass der Rest des Servernetzwerks nicht angreifbar ist. Es hätte jedoch nicht so lange dauern sollen, bis die Überprüfung als vorrangig eingestuft wurde. Wir erwarten mit Sicherheit mehr Transparenz von einem der führenden VPN-Anbieter auf dem Markt. “

VikingVPN hat noch keine Erklärung zum Verstoß veröffentlicht.