NordVPN, un proveedor de red privada virtual que promete «proteger su privacidad en línea», ha confirmado que fue pirateado.
La admisión se produce luego de rumores de que la compañía había sido violada. Primero se supo que NordVPN tenía una clave privada interna expirada expuesta, lo que potencialmente permitía a cualquiera desplegar sus propios servidores imitando a NordVPN.
Los proveedores de VPN son cada vez más populares, ya que aparentemente proporcionan privacidad de su proveedor de Internet y de visitar sitios sobre su tráfico de navegación en Internet. Es por eso que los periodistas y activistas a menudo usan estos servicios, particularmente cuando trabajan en estados hostiles. Estos proveedores canalizan todo su tráfico de Internet a través de una tubería cifrada. Esto hace que sea más difícil para cualquier persona en Internet ver qué sitios está visitando o qué aplicaciones está utilizando. Pero a menudo eso significa desplazar su historial de navegación de su proveedor de Internet a su proveedor de VPN. Eso ha dejado a muchos proveedores abiertos al escrutinio, ya que a menudo no está claro si cada proveedor está registrando cada sitio que visita un usuario.
Por su parte, NordVPN ha reclamado una política de «registros cero». «No rastreamos, recopilamos ni compartimos sus datos privados», dice la compañía.
Pero es probable que la violación provoque la alarma de que los piratas informáticos hayan podido acceder a algunos datos del usuario.
NordVPN confirma el hackeo de uno de sus servidores
NordVPN le dijo a TechCrunch que se accedió a uno de sus centros de datos en marzo de 2018. «Se accedió a uno de los centros de datos en Finlandia del que alquilamos nuestros servidores sin autorización», dijo la portavoz de NordVPN, Laura Tyrell.
El atacante obtuvo acceso al servidor, que había estado activo durante aproximadamente un mes, explotando un sistema de gestión remota inseguro dejado por el proveedor del centro de datos, que NordVPN dijo que no sabía que existía.
NordVPN no nombró al proveedor del centro de datos.
«El servidor en sí no contenía ningún registro de actividad del usuario; ninguna de nuestras aplicaciones envía credenciales creadas por el usuario para la autenticación, por lo que los nombres de usuario y las contraseñas tampoco podrían haber sido interceptados», dijo el portavoz. «En la misma nota, la única forma posible de abusar del tráfico del sitio web fue realizar un ataque personalizado y complicado de intermediario para interceptar una conexión única que intentó acceder a NordVPN».
Descartan hackeo en otros servidores
Según el portavoz, la clave privada expirada no podría haberse utilizado para descifrar el tráfico VPN en ningún otro servidor.
NordVPN dijo que se enteró de la violación «hace unos meses». Sin embargo, el portavoz dijo que la violación no fue revelada hasta hoy. ¿Por qué? Porque la compañía quería estar «100% segura de que cada componente dentro de nuestra infraestructura es seguro».
Un investigador principal de seguridad con el que hablamos que revisó la declaración y otras pruebas de la violación, pero pidió no ser identificado porque trabajan para una empresa que requiere autorización para hablar con la prensa, calificó estos hallazgos de «preocupantes».
«Si bien esto no está confirmado y esperamos más pruebas forenses, esto es una indicación de un compromiso remoto total de los sistemas de este proveedor», dijo el investigador de seguridad. «Eso debería ser profundamente preocupante para cualquiera que use o promueva estos servicios particulares».
NordVPN dijo que «ningún otro servidor en nuestra red ha sido afectado».
Pero el investigador de seguridad advirtió que NordVPN estaba ignorando el problema más amplio del posible acceso del atacante a través de la red. «¿Su automóvil fue robado y llevado a un paseo divertido y usted está discutiendo sobre qué botones se presionaron en la radio?», Dijo el investigador.
NordVPN toma sus previsiones
La compañía confirmó que había instalado sistemas de detección de intrusos, una tecnología popular que las compañías usan para detectar brechas tempranas, pero «nadie podía saber acerca de un sistema de gestión remota no revelado dejado por el proveedor [del centro de datos]», dijo el vocero.
«Gastaron millones en anuncios, pero aparentemente nada en seguridad defensiva efectiva», dijo el investigador.
NordVPN fue recomendado recientemente por TechRadar y PCMag. CNET lo describió como su proveedor de VPN «favorito».
También se cree que varios otros proveedores de VPN pueden haber sido violados al mismo tiempo. Registros similares publicados en línea, y vistos por TechCrunch, sugieren que TorGuard y VikingVPN también pueden haber sido comprometidos.
Un portavoz de TorGuard dijo a TechCrunch que un «servidor único» estaba comprometido en 2017, pero negó que se accediera a ningún tráfico VPN. TorGuard también emitió una extensa declaración después de una publicación de blog en mayo, que reveló por primera vez la violación.
:)