أكد مزود الشبكة الافتراضية الخاصة (VPN) NordVPN يوم الاثنين أن الخادم الذي استأجره من مركز بيانات مقره في فنلندا قد تم اختراقه في مارس 2018. ومع ذلك ، تدعي الشركة أنه لم يتم التسلل إلى بيانات المستخدم وأن الخرق كان "حالة معزولة ".
بالنسبة لأولئك غير المدركين ، تعد VPN عبارة عن تقنية شبكة تربط الشبكة الخاصة عبر الإنترنت باستخدام طرق التشفير وتتيح الوصول السهل للمستخدمين عن بُعد إلى الشبكات الخاصة الآمنة. كما يسمح لمستخدمي VPN بالحفاظ على هويتهم وحماية أنفسهم من التعرض للتطفل. يمكن استخدام VPN للوصول إلى مواقع الويب المحظورة في المنطقة ، وحماية نشاط التصفح للمستخدم من أعين المتطفلين على شبكة Wi-Fi العامة ، والمزيد.
تم الوصول إلى الخادم المعني بشكل غير قانوني في مارس 2018 ، والذي تم تخصيصه لـ NordVPN في يناير 2018. لاحظت الشركة غير المسماة التي تحتفظ بمركز البيانات أنها تركت نظام إدارة عن بعد غير آمن على الخادم المستأجر الذي استغله المتطفل. ثم قام مركز البيانات بحذف حسابات المستخدمين المستغلة في 28 مارس 2018 دون إبلاغ NordVPN.
"حصل المهاجم على حق الوصول إلى الخادم من خلال استغلال نظام إدارة بعيد غير آمن تركه موفر مركز البيانات بينما لم نكن على دراية بوجود مثل هذا النظام. وكتبت الشركة في منشور بالمدونة " حذف مركز البيانات حسابات المستخدمين التي استغلها الدخيل بدلاً من إخطارنا".
"لا يحتوي الخادم نفسه على أي سجلات نشاط للمستخدم ؛ لا يقوم أي من تطبيقاتنا بإرسال بيانات اعتماد أنشأها المستخدم للمصادقة ، لذلك لا يمكن اعتراض أسماء المستخدمين وكلمات المرور أيضًا. "
أيضًا ، تم تسريب مفتاح TLS خاص منتهي الصلاحية ، وهو أداة توفر وتأمين هوية الجهاز ، لموقع NordVPN في نفس الوقت الذي تم فيه استغلال الخادم. منذ سرقة مفتاح TLS ، هناك خوف من أنه منح المتسللين الوصول إلى بعض مفاتيح التشفير التي تؤمن بيانات مستخدم NordVPN ويمكن استخدامها لإنشاء خوادم NordVPN محاكاة ساخرة.
ردت الشركة على ذلك: "لم يتم اعتراض أي بيانات اعتماد للمستخدم. لم يتأثر أي خادم آخر على شبكتنا. لم يعد الخادم المتأثر موجودا وتم إنهاء العقد مع مزود الخدمة. "
على الرغم من أن الشركة أصبحت على دراية بوجود الحساب " قبل بضعة أشهر فقط " ، إلا أنها لم تكشف عنه حتى وقت قريب بسبب المخاوف الأمنية.
"لم نكشف عن هذا الاستغلال على الفور لأنه كان علينا التأكد من أن أيا من بنىنا التحتية لا يمكن أن تكون عرضة لمشاكل مماثلة. وقالت الشركة "لا يمكن القيام بذلك بسرعة بسبب العدد الهائل من الخوادم وتعقيد البنية التحتية لدينا".
"بمجرد أن علمنا بالحادث ، أطلقنا على الفور مراجعة شاملة للتحقق من البنية التحتية بأكملها. لقد تحققنا من عدم إمكانية استغلال أي خادم آخر بهذه الطريقة وبدأنا في إنشاء عملية نقل جميع خوادمنا إلى ذاكرة الوصول العشوائي ، والتي من المقرر أن تكتمل العام المقبل. "
من أجل تعزيز جهودها الأمنية ، تخطط الشركة أيضًا لإجراء مراجعة خارجية مستقلة للبنية التحتية الخاصة بها في العام المقبل.
"على الرغم من تأثر واحد فقط من أكثر من 3000 خادم كان لدينا في ذلك الوقت ، فإننا لا نحاول تقويض شدة المشكلة. لقد فشلنا من خلال التعاقد مع مزود خادم غير موثوق به وكان علينا أن نفعل ما هو أفضل لضمان أمن عملائنا. وقال دانييل ماركوسون من NordVPN "إننا نستخدم كل الوسائل اللازمة لتعزيز أمننا".
"لقد خضعنا لتدقيق أمان التطبيق ، ونعمل على إجراء عملية تدقيق ثانية بدون سجلات في الوقت الحالي ، ونقوم بإعداد برنامج مكافأة الأخطاء. سنبذل قصارى جهدنا لتحقيق أقصى قدر من الأمن لكل جانب من جوانب خدمتنا ، وفي العام المقبل سنطلق مراجعة خارجية مستقلة لجميع البنى التحتية لدينا للتأكد من أننا لم تفوت أي شيء آخر. "
بالنسبة لأولئك غير المدركين ، تعد VPN عبارة عن تقنية شبكة تربط الشبكة الخاصة عبر الإنترنت باستخدام طرق التشفير وتتيح الوصول السهل للمستخدمين عن بُعد إلى الشبكات الخاصة الآمنة. كما يسمح لمستخدمي VPN بالحفاظ على هويتهم وحماية أنفسهم من التعرض للتطفل. يمكن استخدام VPN للوصول إلى مواقع الويب المحظورة في المنطقة ، وحماية نشاط التصفح للمستخدم من أعين المتطفلين على شبكة Wi-Fi العامة ، والمزيد.
"حصل المهاجم على حق الوصول إلى الخادم من خلال استغلال نظام إدارة بعيد غير آمن تركه موفر مركز البيانات بينما لم نكن على دراية بوجود مثل هذا النظام. وكتبت الشركة في منشور بالمدونة " حذف مركز البيانات حسابات المستخدمين التي استغلها الدخيل بدلاً من إخطارنا".
"لا يحتوي الخادم نفسه على أي سجلات نشاط للمستخدم ؛ لا يقوم أي من تطبيقاتنا بإرسال بيانات اعتماد أنشأها المستخدم للمصادقة ، لذلك لا يمكن اعتراض أسماء المستخدمين وكلمات المرور أيضًا. "
أيضًا ، تم تسريب مفتاح TLS خاص منتهي الصلاحية ، وهو أداة توفر وتأمين هوية الجهاز ، لموقع NordVPN في نفس الوقت الذي تم فيه استغلال الخادم. منذ سرقة مفتاح TLS ، هناك خوف من أنه منح المتسللين الوصول إلى بعض مفاتيح التشفير التي تؤمن بيانات مستخدم NordVPN ويمكن استخدامها لإنشاء خوادم NordVPN محاكاة ساخرة.
ردت الشركة على ذلك: "لم يتم اعتراض أي بيانات اعتماد للمستخدم. لم يتأثر أي خادم آخر على شبكتنا. لم يعد الخادم المتأثر موجودا وتم إنهاء العقد مع مزود الخدمة. "
على الرغم من أن الشركة أصبحت على دراية بوجود الحساب " قبل بضعة أشهر فقط " ، إلا أنها لم تكشف عنه حتى وقت قريب بسبب المخاوف الأمنية.
"لم نكشف عن هذا الاستغلال على الفور لأنه كان علينا التأكد من أن أيا من بنىنا التحتية لا يمكن أن تكون عرضة لمشاكل مماثلة. وقالت الشركة "لا يمكن القيام بذلك بسرعة بسبب العدد الهائل من الخوادم وتعقيد البنية التحتية لدينا".
"بمجرد أن علمنا بالحادث ، أطلقنا على الفور مراجعة شاملة للتحقق من البنية التحتية بأكملها. لقد تحققنا من عدم إمكانية استغلال أي خادم آخر بهذه الطريقة وبدأنا في إنشاء عملية نقل جميع خوادمنا إلى ذاكرة الوصول العشوائي ، والتي من المقرر أن تكتمل العام المقبل. "
من أجل تعزيز جهودها الأمنية ، تخطط الشركة أيضًا لإجراء مراجعة خارجية مستقلة للبنية التحتية الخاصة بها في العام المقبل.
"على الرغم من تأثر واحد فقط من أكثر من 3000 خادم كان لدينا في ذلك الوقت ، فإننا لا نحاول تقويض شدة المشكلة. لقد فشلنا من خلال التعاقد مع مزود خادم غير موثوق به وكان علينا أن نفعل ما هو أفضل لضمان أمن عملائنا. وقال دانييل ماركوسون من NordVPN "إننا نستخدم كل الوسائل اللازمة لتعزيز أمننا".
"لقد خضعنا لتدقيق أمان التطبيق ، ونعمل على إجراء عملية تدقيق ثانية بدون سجلات في الوقت الحالي ، ونقوم بإعداد برنامج مكافأة الأخطاء. سنبذل قصارى جهدنا لتحقيق أقصى قدر من الأمن لكل جانب من جوانب خدمتنا ، وفي العام المقبل سنطلق مراجعة خارجية مستقلة لجميع البنى التحتية لدينا للتأكد من أننا لم تفوت أي شيء آخر. "
