Vpn-provider NordVPN bevestigt inbraak op Finse server

[Captain Kirk]

Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.

Gisteren verschenen op Twitter de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.

De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder. Wel was het mogelijk geweest om via de server een gepersonaliseerde man-in-the-middle-aanval uit te voeren, waarbij "een enkele verbinding" van een gebruiker die verbinding met NordVPN probeerde te maken had kunnen worden onderschept. Met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.

De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.

 

 

bron: security.nl

[Captain Kirk]

NordVPN beëindigt contract met serverprovider na inbraak

Vpn-dienst NordVPN heeft het contract met een serverprovider beëindigd en alle gehuurde servers "geshred" nadat een aanvaller toegang tot één van de servers bij de provider wist te krijgen. Gisteren werd bekend dat vorig jaar één van de servers in een Fins datacentrum werd gecompromitteerd.

De aanvaller maakte gebruik van een onveilig remote beheersysteem dat door de serverprovider was achtergelaten, zonder dat NordVPN naar eigen zeggen hiervan wist. De server in kwestie werd op 31 januari 2018 aan de serverlijst van de vpn-provider toegevoegd. De serverprovider, die niet bij naam wordt genoemd, ontdekte het probleem en verwijderde het remote beheeraccount op 20 maart 2018, zonder NordVPN te informeren.

Een aantal maanden geleden ontdekte NordVPN dat het remote beheeraccount had bestaan, waarop er een onderzoek werd ingesteld. De aanvaller die toegang tot de server wist te krijgen maakte daar een verlopen tls-sleutel buit, zo laat NordVPN in een blogposting over het incident weten. Met deze tls-sleutel was het mogelijk geweest om een man-in-the-middle-aanval op een enkele verbinding uit te voeren die verbinding met nordvpn.com maakte.

De vpn-provider benadrukt dat er geen inloggegevens van gebruikers zijn gestolen en er ook geen andere servers zijn gecompromitteerd. De gecompromitteerde server bestaat niet meer en het contract met de serverprovider is beëindigd. "We hebben direct het contract met de serverprovider beëindigd en alle servers die we van ze huurden geshred", aldus de verklaring.

Volgens NordVPN heeft het gefaald door met een onbetrouwbare serverprovider in zee te gaan en had het meer moeten doen om de veiligheid van klanten te verzekeren. Het bedrijf zegt "alle noodzakelijke stappen" te zullen nemen om de veiligheid te verbeteren. Zo heeft er een applicatie-audit plaatsgevonden en vindt er nu een tweede "no-logs" audit plaats, gevolgd door een externe audit volgend jaar. Ook zal NordVPN een bug bounty programma lanceren dat onderzoekers beloont voor het melden van kwetsbaarheden.

 

 

bron: security.nl