VPN sağlayıcıları TorGuard ve NordVPN, sistemlerinin ihlal edildiği yönündeki haberlere yanıt verdi ve her ikisi de suçu bir üçüncü taraf hizmet sağlayıcısına attı.
Bilgisayar korsanları, geçen yıl NordVPN sunucusundan çalınan özel RSA anahtarlarını ve yapılandırma dosyalarıyla ilgili bilgileri sızdırdı.
Biri eski bir NordVPN web sitesi sertifikasından ve iki OpenVPN anahtarından olmak üzere en az üç özel anahtarın sunucudan çalınmış olduğu
Veriler, “VPN kullanıyorsanız hiçbir hacker çevrimiçi hayatınızı çalamaz” şeklindeki bir NordVPN Twitter mesajına tepki olarak sızdırıldı.
Nord VPN Twitter’da yaptığı açıklamada “Bilgi güvenliği topluluğunun eleştirisi, her zaman olduğu gibi, süratli ve kesin idi ve abartmayı işaret ediyordu. Reklam, yönetimimiz tarafından fark edildikten hemen sonra kaldırıldı. Bunu, devam eden tartışmayı bitirmeyi umduğumuz için yapmadık ” dedi .
Anahtarlar çevrimiçi olarak yayınlandıktan kısa bir süre sonra, ilk analiz sonuçları ortaya çıktı ve bazıları site anahtarının sahte sunucular kurarak ortadaki adam (MiTM) saldırıları için kullanılabileceğini öne sürdü .
Resmi yanıtlarında NordVPN , bilgisayar korsanlarının sunucularından birine eriştiğini ve TLS anahtarını çaldıklarını doğruladı , ancak yalnızca “nordvpn.com sitesine erişmeye çalışan tek bir bağlantıyı kesmek için kişiselleştirilmiş ve karmaşık bir MiTM saldırısı” gerçekleştirmek için kullanabileceklerini söyledi.
VPN servis sağlayıcısı, “[T] anahtarı, başka bir sunucunun VPN trafiğinin şifresini çözmek için kullanılamaz” dedi.
Şirket, bilgilerin geçen yıl Finlandiya’daki bir veri merkezinin bulunduğu bir sunucudan çalındığını ve Internet’e sızan yapılandırma dosyasının geçen yıl 5 Mart’ta varlığını sona erdirdiğini iddia ediyor.
Şirket, “Saldırgan, veri merkezi sağlayıcısı tarafından bırakılan güvensiz bir uzaktan yönetim sisteminden yararlanarak sunucuya erişim elde etti ve biz böyle bir sistemin varlığından habersizdik.” diyor.
NordVPN ayrıca birkaç ay önce olayı öğrendiklerini ve derhal bir soruşturma başlattıklarını ve sunucu sağlayıcısıyla sözleşmeyi feshettiklerini açıklıyor.
Şirket, başka hiçbir sunucunun aynı şekilde kullanılmayacağından emin olmak için tüm altyapılarını kontrol ettiklerini ve aynı zamanda tüm sunucularının şifrelemesini güçlendirdiklerini söylüyor.
NordVPN “Sunucunun kendisi herhangi bir kullanıcı etkinliği günlüğü içermiyordu; uygulamalarımızdan hiçbiri kimlik doğrulama için kullanıcı tarafından oluşturulan kimlik bilgileri göndermez, bu nedenle kullanıcı adları ve şifreler de ele geçirilemezdi ”diyor
Şirket ayrıca bunun izole edilmiş bir olay olduğunu ve kendi veri sağlayıcılarından sadece birinin etkilendiğini belirtti.
Bu sorun sırasında su yüzüne çıkan konulardan biri NordVPN gibi aynı güvenli PKI yönetimi uygulama değildi , VikingVPN aynı, aynı zamanda ihlali (aynı veri merkezi sağlayıcısı kullanıyordu).
Bu olay sırasında ortaya çıkan sorunlardan biri de, NordVPN’in ihlalden etkilenen tek uygulama olmadığıydı. VikingVPN de aynı veri merkezi sağlayıcısını kullanıyordu.
Dahası TorGuard da aynı sunucu sağlayıcısını kullanıyordu ve saldırıdan etkilenmişti, ancak üçü arasında güvenli PKI yönetimi uygulayan tek VPN servis sağlayıcısıydı.
TorGuard VPN, blogundaki açıklamada “Tek bir VPN sunucusunun ihlali sırasında TorGuard VPN veya proxy trafiği tehlikeye girmedi ve bu olay sırasında hiçbir hassas bilgiden ödün verilmedi. Geçmişte veya şimdi bir güvenlik riski bulunmamaktadır buna rağmen güvenlik protokolümüz uyarınca bu yılın başlarında tüm sertifikalar yeniden yayınladı.” dedi
