NordVPN, un provider di servizi VPN focalizzato su privacy e sicurezza e apprezzato da oltre 12 milioni di clienti, è stato hackerato
Oggi, sul blog ufficiale di NordVPN, è stato pubblicato un comunicato stampa molto chiaro e conciso in merito a quanto accaduto. Ma le voci di un incidente circolavano insistentemente già da parecchio tempo.
L'incidente
In particolare, la società ha dichiarato di essersi resa conto che a marzo 2018 era stato effettuato l'accesso senza autorizzazione ad uno dei suoi datacenter in Finlandia, da cui il provider aveva noleggiato i server.
L'aggressore avrebbe ottenuto l'accesso al server sfruttando un sistema di gestione remota non sicuro, lasciato dal provider del datacenter mentre la società non era consapevole dell'esistenza di un tale sistema.
NordVPN era all'oscuro dell'esistenza di questo sistema di gestione e non ha menzionato il nome del fornitore in questione. "Il server stesso non conteneva alcun registro delle attività dell'utente; nessuna delle nostre applicazioni invia credenziali create dall'utente per l'autenticazione, pertanto non è stato possibile intercettare nomi utente e password ", ha affermato il portavoce Laura Tyrell. L'unico modo possibile per abusare del traffico del sito Web - ha precisato Tyrell - è quello di eseguire un attacco man-in-the-middle personalizzato per intercettare una singola connessione che ha tentato di accedere a NordVPN.
Secondo il portavoce, la chiave privata scaduta non avrebbe potuto essere utilizzata per decrittografare il traffico VPN su qualsiasi altro server.
L'esatto file di configurazione trovato su Internet dai ricercatori della sicurezza ha cessato di esistere il 5 marzo 2018. Si è trattato di un caso isolato e nessun altro fornitore di data center utilizzato dall'azienda è stato interessato.
Dopo aver scoperto l'incidente, NordVPN ha avviato immediatamente un controllo interno approfondito per verificare l'intera infrastruttura. I tecnici hanno ricontrollato che nessun altro server fosse stato sfruttato allo stesso modo e hanno iniziato a spostare tutti i server nella RAM (il trasferimento dovrebbe essere completato il prossimo anno).
l'ammissione di colpa: "dovevamo fare di meglio per la sicurezza dei clienti"
Dopo quanto successo, l'azienda ha riconosciuto la necessità di pretendere standard di sicurezza ancora più elevati da parte tutti i datacenter con cui sta lavorando.
Rilevata la vulnerabilità, la società ha immediatamente risolto il contratto con il fornitore del server e ha distrutto tutti i server che aveva noleggiato da quel fornitore. Tuttavia, i vertici aziendali hanno preso la decisione di non rendere immediatamente pubblica la notizia, perché preferivano prima assicurarsi che nessuna delle infrastrutture fosse stata danneggiata.
NordVPN ha voluto rassicurare i suoi utenti precisando che nessun altro server è stato interessato da attacchi. Nel contempo, ha ammesso schiettamente di aver fallito contrattando con un fornitore di server inaffidabile. Ha anche riconosciuto che avrebbe dovuto fare di meglio per garantire la sicurezza dei clienti.
Al momento, il provider sta facendo tutto quanto in suo potere per migliorare la sicurezza: "faremo del nostro meglio per massimizzare la sicurezza di ogni aspetto del nostro servizio" - ha affermato il portavoce - "e l'anno prossimo lanceremo un audit esterno indipendente su tutta la nostra infrastruttura per assicurarci di non perdere altro. Con questo incidente, abbiamo imparato importanti lezioni su sicurezza, comunicazione e marketing".
altri provider vpn hackerati?
Nello stesso periodo sono stati violati altri provider VPN. Record simili pubblicati online suggeriscono che anche TorGuard e VikingVPN sono stati compromessi, ma i rispettivi portavoce non hanno commentato in merito.
