NordVPN, un proveedor de red privada virtual que promete “proteger su privacidad en línea”, ha confirmado que fue pirateado.
La admisión se produce luego de rumores de que la compañía había sido violada. Primero se supo que NordVPN tenía claves privadas internas expiradas expuestas, lo que potencialmente permite a cualquiera desplegar sus propios servidores imitando a NordVPN.
Los proveedores de VPN son cada vez más populares, ya que aparentemente proporcionan privacidad de su proveedor de Internet y de visitar sitios sobre su tráfico de navegación en Internet. Es por eso que los periodistas y activistas a menudo usan estos servicios, particularmente cuando trabaj an en estados hostiles. Estos proveedores canalizan todo su tráfico de Internet a través de una tubería cifrada, lo que hace que sea más difícil para cualquier persona en Internet ver qué sitios está visitando o qué aplicaciones está utilizando. Pero a menudo eso significa desplazar su historial de navegación de su proveedor de Internet a su proveedor de VPN. Eso ha dejado a muchos proveedores abiertos al escrutinio, ya que a menudo no está claro si cada proveedor está registrando cada sitio que visita un usuario.
Por su parte, NordVPN ha rec lamado una política de “registros cero”. “No rastreamos, recopilamos ni compartimos sus datos privados” la empresa dice
Pero es probable que la violación provoque la alarma de que los piratas informáticos hayan podido acceder a algunos datos del usuario.
NordVPN le dijo a TechCrunch que se accedió a uno de sus centros de datos en marzo de 2018. “Se accedió a uno de los centros de datos en Finlandia del que alquilamos nuestros servidores sin autorización”, dijo la portavoz de NordVPN, Laura Tyrell.
El atacante obtuvo acceso al servidor, que había estado activo durante aproximadamente un mes, explotando un sistema de gestión remota inseguro dejado por el proveedor del centro de datos, que NordVPN dijo que no sabía que existía.
NordVPN no nombró al proveedor del centro de datos.
“El servidor en sí no contenía ningún registro de actividad del usuario; ninguna de nuestras aplicaciones envía cre denciales creadas por el usuario para la autenticación, por lo que los nombres de usuario y las contraseñas tampoco podrían haber sido interceptados “, dijo el portavoz. “En la misma nota, la única forma posible de abusar del tráfico del sitio web fue realizar un ataque personalizado y complicado de intermediario para interceptar una conexión única que intentó acceder a NordVPN”.
Según el portavoz, la clave privada expirada no podría haberse utilizado para descifrar el tráfico VPN en ningún otro servidor.
NordVPN dijo que se enteró de la violación “hace unos meses”, pero el portavoz dijo que la violación no fue revelada hasta hoy porque la compañía quería estar “100% segura de que cada componente dentro de nuestra infraestructura es seguro”.
Un investigador senior de seguridad con el que hablamos que revisó la declaración y otras pruebas publicadas, pero pidió no ser identificado porque trabajan para una empresa que requiere autorización para hablar con la prensa, calificó estos hallazgos de “preocupantes”.
“Si bien esto no está confirmado y esperamos más pruebas forenses, esto es una indicación de un compromiso remoto total de los sistemas de este proveedor”, dijo el investigador de seguridad. “Eso debería ser profundamente preocupante para cualquiera que use o promueva estos servicios particulares”.
NordVPN dijo que “ningún otro servidor en nuestra red ha sido afectado”.
Pero el investigador de seguridad advirtió que NordVPN estaba ignorando el problema más amplio del posible acceso del atacante a través de la red. “¿Su automóvil fue robado y llevado a un paseo divertido y usted está discutiendo sobre qué botones se presionaron en la radio?”, Dijo el investigador.
La compañía confirmó que había instalado sistemas de detección de intrusos, una tecnología popular que las compañías usan para detectar brechas tempranas, pero “nadie podía saber acerca de un sistema de gestión remota no revelado dejado por el proveedor [del centro de datos]”, dijo el vocero.
También se cree que varios otros proveedores de VPN pueden haber sido violados al mismo tiempo. Registros similares publicado en línea – y visto por TechCrunch – sugiere que TorGuard y VikingVPN también pueden haber sido comprometidos, pero los portavoces no respondieron una solicitud de comentarios.