NordVPN admite que fue hackeada
La empresa NordVPN admite que fue hackeada, diciendo que en marzo de 2018 un tercero accedió a uno de sus centros de datos, no ha sido hasta ahora (más de un año después) cuando han comunicado el hackeo.
El atacante tuvo acceso a los servidores obteniendo claves privadas e información sobre los archivos de configuración de NordVPN. Tres de estas claves privadas aparecieron recientemente en la red, una de las cuales pertenecía a un certificado HTTPS caducado.
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys... pic.twitter.com/TOap6NyvNy
— undefined (@hexdefined) October 20, 2019
Según Laura Tyrell, portavoz de NordVPN, los atacantes "accedieron sin autorización a uno de los centros de datos en Finlandia desde los que alquilamos nuestros servidores" y el "servidor en sí no contenía ningún registro de actividad del usuario, ninguna de nuestras aplicaciones envía credenciales creadas por el usuario para la autenticación, por lo que los nombres de usuario y las contraseñas tampoco podrían haber sido interceptados".
El archivo de configuración filtrado en red, el cual generó rumores sobre un posible hackeo, mantienen que dejó de existir desde el 5 de marzo del 2018.
La compañía dice que una vez enterados del incidente, "inmediatamente lanzamos una auditoría interna exhaustiva para comprobar toda nuestra infraestructura"
Desde NordVPN dicen que están empezando a crear un proceso para mover todos sus servidores a RAM, algo similar a lo que ya ofrecen en ExpresVPN que evitan dejar rastros en los discos y mejoran la privacidad.
Clave RSA filtrada al certificado del sitio web
Como podéis ver en la imagen superior es un volcado de un registro de consola del atacante tenía acceso a un servidor NordVPN. En ese volcado (no esta completo en la imagén superior) se muestran varios archivos de configuración del software OpenVPN, así como certificados y tres claves privadas RSA. Dos de las claves pertenecen a la configuración de OpenVPN, una pertenece a un certificado de sitio web.
La clave realmente pertenece al sitio web de NordVPN, esto por lo menos confirma que parte de la información no es falsa. El certificado es un comodín para el dominio NordVPN, que está desactualizado. Expiró en octubre de 2018. Esto puede indicar que el hackeo ocurrió hace algo de tiempo, pero por supuesto también podría ser que el atacante robó la clave de un certificado obsoleto.
Es importante recordar que no se puede descifrar el tráfico VPN almacenado directamente con las claves filtradas. De los archivos de configuración también mostrados, muestra que la configuración de OpenVPN usa un intercambio de claves con Diffie-Hellman, de modo que las conexiones tienen la llamada propiedad de secreto directo, que impide el descifrado posterior.
Fuente: Golemde