Jak NordVPN przez rok udawał, że wcale go nikt nie zhakował

dodał 21 października 2019 o 18:13 w kategorii Włamania  z tagami:
Jak NordVPN przez rok udawał, że wcale go nikt nie zhakował

Internet nie lubi, gdy ktoś ogłasza, że nie da się go zhakować. Opublikowanie kontrowersyjnej reklamy przez NordVPN najwyraźniej zdenerwowało hakera, który pokazał, że Norda też da się zhakować.

Gdy dochodzi do incydentu bezpieczeństwa, można zamieść go pod dywan i udawać, że nic się nie stało. Można też, tak jak Avast, napisać o nim, zanim zacznie plotkować internet. Można też, jak NordVPN, dowiedzieć się o nim z Twittera.

Wyciekł klucz prywatny certyfikatu SSL NordVPN

Wszystko zaczęło się od pewnej reklamy. Zamieszczamy jej zrzut ekranu, ponieważ oryginalny tweet został już usunięty.

Reklama NordVPN

Reklama mówi „Żaden haker nie ukradnie twojego życia w sieci (jeśli używasz VPN-a)”. Oczywiście slogan jest w najlepszym razie dużym niedopowiedzeniem, a w rzeczywistości po prostu bzdurą. Reakcja specjalistów była dość szybka – pod wpisem pojawiło się sporo negatywnych komentarzy, zatem tweet został szybko usunięty. To jednak sprawy nie zakończyło.

Jeden z odpowiadających na tweeta opublikował bowiem log z włamania na serwer należący do NordVPN-a.

Link do logu z włamania

W logu tym (https://share.dmca.gripe/hZYMaB8oF96FvArZ.txt) znajdziemy między innymi prywatny klucz certyfikatu SSL, który gwarantował tożsamość witryny nordvpn.com. Nie wiadomo, od kiedy dane te krążyły po sieci. Wiadomo jedynie, że w momencie publikacji były już nieaktualne. Widać jednak dość wyraźnie, że ktoś włamał się na jeden z serwerów Norda i uzyskał tam uprawnienia roota, a Nord albo tego nie zauważył, albo nie raczył o tym wspomnieć. Certyfikat był prawdziwy – zostało to szybko zweryfikowane przez innych internautów.

W tej sytuacji pozostało już tylko czekać na opublikowaną właśnie reakcję Norda.

Odpowiedź Norda

Czytaliśmy już odpowiedź firmy kilka razy, ale dalej mamy silne wrażenie, że była pisana na kolanie i firmie zależało, by nie powiedzieć za dużo. Spróbujmy zatem rozpisać w punktach, co firma zakomunikowała:

  • 31 stycznia 2018 podłączono do sieci nowy serwer w Finlandii.
  • W marcu 2018 doszło do włamania do tego właśnie serwera.
  • Atakujący dostał się za pomocą „systemu zdalnego zarządzania, pozostawionego przez zarządzającego serwerownią”, o którego istnieniu Nord nie miał pojęcia.
  • Incydent dotyczył jednego serwera w jednej serwerowni.
  • 20 marca 2018 pracownicy serwerowni „usunęli nieujawnione konto zdalnego zarządzania”.
  • „Kilka miesięcy później” Nord dowiedział się o podatności, sprawdził całą swoją infrastrukturę pod katem podobnych błędów, rozwiązał umowę z tym dostawcą i usunął uruchomione u niego serwery.
  • Atak nie został ujawniony, ponieważ Nord „musiał się upewnić, że inne serwery nie są podatne na podobne błędy, co nie mogło być wykonane szybko z powodu złożoności infrastruktury i liczby serwerów”.

Dość zabawna była to lektura. Podsumowując własnymi słowami:

  • O włamaniu wiedzieli od dawna, ale nie powiedzieli, ponieważ od +/- sierpnia 2018 (marzec + „kilka miesięcy”) nie potrafili sprawdzić całej swojej infrastruktury.
  • Podatność opierała się na koncie „serwisowym”, którego nie zidentyfikowali na wynajmowanym przez siebie serwerze
  • …czyli o ataku nie dowiedzieli się wcale z Twittera, w pełni kontrolowali sytuację, tylko jeszcze najwyraźniej od roku szukali innych podatnych serwerów (czyli sprawdzali, czy są na nich cudze konta?),
  • a przyznali się, bo ujawniony klucz prywatny nie dał się już zamieść pod dywan.

Podsumowanie

Nie denerwujcie hakerów głupimi reklamami i agresywnym marketingiem, bo niezamówione pentesty się zdarzają. Często ich wyniki leżą w szufladach i być może nigdy nie ujrzą światła dziennego. A super bezpieczni dostawcy magicznych VPN-ów, które ukryją was przed całym światem, nie zawsze są tacy super bezpieczni.

PS. Prawdopodobnie (jeśli wierzyć zapewnieniom Norda…) wykradzione dane nie pozwalały na podsłuchanie ruchu klientów.

PS2. Jeśli wierzyć IP w logach włamywacza, to serwerownia, o której mowa, to CreaNova.