NordVPN wurde gehackt!

Szene VPN
1

NordVPN wurde gehackt
Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.
Aufgetaucht ist der Leak in einer Onlinediskussion. In einem inzwischen gelöschten Tweet schrieb NordVPN: „Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt).“ Als Antwort darauf schickte jemand einen Link auf eine Textdatei, die Belege für einen Hack des VPN-Anbieters enthält.

RSA-Schlüssel zu Webseitenzertifikat geleakt
Es handelt sich offenbar um eine Logdatei der Konsole. Ein Angreifer hatte demnach Zugriff auf einen Server von NordVPN. Gezeigt werden diverse Konfigurationsdateien der Software OpenVPN sowie Zertifikate und drei private RSA-Schlüssel. Zwei der Schlüssel gehören zur OpenVPN-Konfiguration, einer gehört zu einem Webseitenzertifikat.

Dass der Schlüssel tatsächlich zu dem Zertifikat gehört, konnte Golem.de prüfen und bestätigen. Es handelt sich also zumindest bei diesem Teil um keine Fälschung. Das Zertifikat ist ein Wildcard-Zertifikat für die NordVPN-Domain, das allerdings nicht mehr aktuell ist. Es ist im Oktober 2018 abgelaufen. Das könnte darauf hindeuten, dass der Hack bereits vor längerer Zeit passiert ist, aber natürlich wäre es auch denkbar, dass der Angreifer den Schlüssel eines veralteten Zertifikats gestohlen hat.

Gespeicherten VPN-Datenverkehr direkt entschlüsseln kann man mit den geleakten Schlüsseln vermutlich nicht. Aus den ebenfalls gezeigten Konfigurationsdateien geht hervor, dass die OpenVPN-Konfiguration einen Schlüsselaustausch mit Diffie-Hellman nutzt, damit haben die Verbindungen die sogenannte Forward-Secrecy-Eigenschaft, die ein nachträgliches Entschlüsseln verhindert. Die Schlüssel könnten aber für einen Man-in-the-Middle-Angriff verwendet werden. Außerdem ist natürlich davon auszugehen, dass der Angreifer während des Hacks in der Lage war, auf Datenverkehr zuzugreifen.

NordVPN hat sich bisher nur kurz zu dem Vorfall geäußert. Auf dem Twitter-Account von NordVPN heißt es, dass man darauf warte, dass die Techniker der Firma die Details prüfen. Auf der Webseite fanden wir bisher keinen Hinweis und eine Anfrage von Golem.de blieb bislang unbeantwortet. (Golem)

1 „Gefällt mir“
2

Ich nutz NordVPN schon länger, bin sehr zufrieden mit dem Dienst. Die Frage ist von welchem Server die geleakten Zertifikate stammen. Ich hoffe, NordVPN nutzen auf jedem Server andere Zertifikate. Denn sonst wäre es ja egal, über welchen Server/Land man surft, wenn das Zertifikat mit allen Verbindungen funktioniert. Was natürlich schlecht ist…

3

Ja: https://thatoneprivacysite.net/#simple-vpn-comparison
… aber selber schuld: https://vpnpro.com/blog/hidden-vpn-owners-unveiled-97-vpns-23-companies/

4

Mmm. Ich persönlich traue keinem VPN Anbieter der FIAT nimmt und aggressiv Werbung macht.

5

Alarm bei NordVPN: Der VPN-Anbieter wurde gehackt, im Netz kursiert eine Datei mit kryptografischen Schlüsseln und Server-Informationen. Wie ist es nun um die Sicherheit bestellt?

Der VPN-Anbieter NordVPN ist einem Hacker-Angriff ausgesetzt gewesen, bei dem die Angreifer Zugriff auf einen Server sowie drei private Schlüssel des Sicherheitsanbieters hatten. Die drei Schlüssel und Server-Informationen waren in Szenekreisen anscheinend bereits seit Längerem frei verfügbar. Was bedeutet dies für die Sicherheit des VPN-Dienstes?.

Geleakte Sicherheitsschlüssel

Schlecht gelaufen: Auf seinem Twitter-Account warb der in San Marino ansässige VPN-Anbieter NordVPN gerade mit dem Slogan „Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)“, als ein Dritter dazwischenfunkte und als Antwort den Link zu einer Textdatei postete, die brenzlige Informationen enthält. So scheint es sich um einen Server-Log eines VPN-Servers zu handeln, der von den Angreifern offenbar von NordVPN übernommen oder selbst aufgesetzt wurde. Neben eindeutigen Hinweisen auf die genaue Konfiguration des Servers enthält das Log drei kryptografische Schlüssel. Bei den Schlüsseln handelt es sich um zwei Schlüssel, die zur OpenVPN-Konfiguration gehören, und um einen privaten Schlüssel, der zu einem Webseitenzertifikat passt. Letzterer kann einem Zertifikat der NordVPN-Domain zugeordnet werden, das aber bereits abgelaufen ist.

In der Hacker-Szene führt eine Spur ins berüchtigte Imageboard „8chan“, in dem bereits im März 2018 ein anonymer User die besagte Textdatei gepostet hatte. Er postete neben dem mutmaßlichen Server-Log von NordVPN zwei weitere Logs anderer VPN-Anbieter, namentlich VikingVPN und Torguard. Auch hier finden sich Server-Informationen zum Anbieter und kryptografische Schlüssel im Klartext.

Ist NordVPN noch sicher?

Da laut NordVPN die Schlüssel ausschließlich für die Serverauthentifizierung und nicht für die Verschlüsselung des VPN als solches dienen, ist eine Gefährdung der Datensicherheit nicht anzunehmen. Die Verbindungen haben die sogenannte Perfect-Forward-Secrecy-Eigenschaft, das würde ein nachträgliches Entschlüsseln verhindern. Allerdings ist nicht ausgeschlossen, dass während des Hacks bei einem Man-in-the-Middle-Angriff auf Datenverkehr zugegriffen und dieser abgefangen oder manipuliert werden konnte. NordVPN hat auf seinem Twitter-Account mittlerweile ein Statement veröffentlicht und den Hack bestätigt. Laut Firmenaussagen fand im März 2018 ein widerrechtlicher Zugriff auf ein Rechenzentrum in Finnland statt. Der VPN-Dienstanbieter betont, dass dort keine sensible Daten wie Benutzernamen oder Kennwort abgefangen wurden. Die Zusammenarbeit mit dem betroffenen Rechenzentrum wurde nach Firmenaussagen beendet, eine umfangreiche Untersuchung der gesamten Serverstruktur umgehend durchgeführt. Laut NordVPN sind keine weiteren Server betroffen und man habe Maßnahmen ergriffen, die einen Wiederholungsfall verhindern sollen. Das bleibt zu wünschen; dennoch ist der Vorfall für einen Anbieter, der von dem Vertrauen in seinen Dienst lebt, ein schwerer Dämpfer.

6

Dataming Skandal vergessen?
naja gehen wir zu protonmail = auch Datamining Skandal
freude kommt auf!
nord vpn = datamining!
wer denen noch irgent ein Statment glaubt,dem kann keiner mehr helfen!
VPN = VERTRAUENSSACHE

Nachrichten aus 2018: HolaVPN and NordVPN Partners in Data Mining Bot Network?
oder: Tesonet Data Mining Company Linked to NordVPN, Protonmail, ProtonVPN
GAME OVER !

Bitte VPN Leak test s check n!
Thread: https://tarnkappe.info/forum/t/vpn-leak-test-s/2399/2

7

Vor kurzem sind Informationen über einen NordVPN-Verstoß aufgetaucht, der durch Schwachstellen in einem Rechenzentrum eines Drittanbieters verursacht wurde. Hier sind die wichtigsten Fakten über die Situation der NordVPN-Verletzung:

  • Ein Server war im März 2018 in Finnland betroffen. Der Rest unseres Services war nicht betroffen. Es wurden keine anderen Server jeglicher Art gefährdet. Dies war ein Angriff auf unseren Server, nicht auf unseren gesamten Service.

  • Der Verstoß wurde durch eine schlechte Konfiguration seitens eines Rechenzentrums eines Drittanbieters ermöglicht, über die wir nie informiert wurden. Es gibt Hinweise darauf, dass das Rechenzentrum, als es von dem Einbruch erfuhr, die Konten gelöscht hat, die die Schwachstellen verursacht hatten, anstatt uns über ihren Fehler zu informieren. Sobald wir von der Verletzung erfahren haben, wurden der Server und unser Vertrag mit dem Provider gekündigt und wir begannen mit einer umfangreichen Überprüfung unseres Dienstes.

  • Es wurden keine Benutzeranmeldeinformationen betroffen.

  • Es gibt keine Anzeichen dafür, dass der Eindringling versucht hat, den Benutzerverkehr in irgendeiner Weise zu überwachen. Selbst wenn dies der Fall wäre, hätten sie keinen Zugriff auf die Anmeldeinformationen dieser Benutzer gehabt.

  • Der Angreifer erwarb TLS-Schlüssel, die unter außergewöhnlichen Umständen dazu verwendet werden konnten, einen einzelnen Benutzer im Web mit einem speziell ausgerichteten und hoch entwickelten MITM-Angriff anzugreifen, den wir im Folgenden näher erläutern. Diese Schlüssel konnten und können nicht verwendet werden, um verschlüsselten NordVPN-Verkehr in irgendeiner Form zu entschlüsseln.

  • Zwei weitere VPN-Anbieter wurden von Angriffen betroffen, die von demselben Eindringling veröffentlicht wurden. Wir glauben nicht, dass es sich um einen gezielten Angriff auf NordVPN handelte.
    Der Vorfall zeigte effektiv, dass der betroffene Server keine Benutzeraktivitätsprotokolle enthielt. Um ähnliche Vorfälle zu vermeiden, verschlüsseln wir unter anderem die Festplatte jedes neuen Servers, den wir bauen. Die Sicherheit unserer Kunden hat für uns höchste Priorität und wir werden unsere Standards immer weiter erhöhen.

Hier ist die ganze Geschichte zusammen mit weiteren technischen Informationen:

Vor einigen Monaten wurden wir auf einen Vorfall im März 2018 aufmerksam, als auf einen Server in einem Rechenzentrum in Finnland, von dem wir Server gemietet hatten, ohne Genehmigung zugegriffen wurde. Dies geschah über ein unsicheres Remote-Management-Systemkonto, das das Rechenzentrum ohne unser Wissen hinzugefügt hatte. Das Rechenzentrum löschte die Benutzerkonten, die der Eindringling ausgenutzt hatte, anstatt uns zu informieren.

Der Eindringling hat keine Benutzeraktivitätsprotokolle gefunden, da sie nicht existieren. Sie haben die Identitäten, Benutzernamen oder Passwörter der Benutzer nicht erkannt, da keine unserer Anwendungen benutzerdefinierte Anmeldeinformationen zur Authentifizierung sendet.

Der Eindringling hat einen TLS-Schlüssel gefunden und erworben, der bereits abgelaufen ist. Mit diesem Schlüssel konnte ein Angriff im Web nur gegen ein bestimmtes Ziel durchgeführt werden und würde einen außerordentlichen Zugriff auf das Gerät oder Netzwerk des Opfers erfordern (wie ein bereits kompromittiertes Gerät, ein bösartiger Netzwerkadministrator oder ein kompromittiertes Netzwerk). Ein solcher Angriff wäre sehr schwer durchführbar. Abgelaufen oder nicht, dieser TLS-Schlüssel konnte nicht verwendet werden, um den NordVPN-Verkehr in irgendeiner Weise zu entschlüsseln. Das ist es nicht, was es tut.

Dies war ein Einzelfall, und keine anderen Server oder Rechenzentrumsprovider, die wir verwenden, sind betroffen.

Nachdem wir von dem Vorfall erfahren hatten, haben wir zunächst unseren Vertrag mit dem Anbieter gekündigt und den Server, den wir seit dem 31. Januar 2018 betrieben hatten, beseitigt. Daraufhin haben wir umgehend ein gründliches internes Audit unserer gesamten Infrastruktur eingeleitet. Wir mussten sicherstellen, dass kein anderer Server auf diese Weise ausgenutzt werden kann. Leider braucht es Zeit, um die Anbieter und Konfigurationen für über 5.000 Server auf der ganzen Welt gründlich zu überprüfen. Infolgedessen beschlossen wir, die Öffentlichkeit nicht zu informieren, bis wir sicher sein konnten, dass ein solcher Angriff nicht irgendwo anders auf unserer Infrastruktur repliziert werden konnte. Schließlich haben wir unsere Standards für aktuelle und zukünftige Rechenzentrumspartner noch weiter angehoben, um sicherzustellen, dass es nie wieder zu ähnlichen Verletzungen kommt.

Wir möchten, dass unsere Nutzer und die Öffentlichkeit das Ausmaß des Angriffs genau verstehen und wissen, was gefährdet war und was nicht. Der Verstoß betraf einen von über 3.000 Servern, die wir damals für einen begrenzten Zeitraum hatten, aber das ist keine Entschuldigung für einen gewaltigen Fehler, der nie hätte gemacht werden dürfen. Unser Ziel ist es, die Schwere und Bedeutung dieser Verletzung nicht zu untergraben. Wir hätten mehr tun sollen, um unzuverlässige Serveranbieter herauszufiltern und die Sicherheit unserer Kunden zu gewährleisten.

Seit der Entdeckung haben wir alle notwendigen Mittel ergriffen, um unsere Sicherheit zu erhöhen. Wir haben uns einem Application Security Audit unterzogen, arbeiten derzeit an einem zweiten No-Logs-Audit und bereiten ein Bug-Bounty-Programm vor. Wir werden alles daran setzen, die Sicherheit in allen Bereichen unseres Dienstes zu maximieren, und im nächsten Jahr werden wir ein unabhängiges externes Audit unserer gesamten Infrastruktur durchführen.

Unser Ziel ist es, die Öffentlichkeit über diesen Verstoß zu informieren und aufzuklären. Nur so können wir uns von diesem erheblichen Rückschlag erholen und unsere Sicherheit noch weiter erhöhen.
(NordVPN - eigenes Statement, offizielle Reaktion! 22.10.2019)

1 „Gefällt mir“
8

Das Statement kam aber auch erst, nachdem es öffentlich bekannt und breitgetragen wurde. Wenn man sich mal die drei Logs von dem Hack anschaut, hatte der Eindringling vei NordVPN noch vergleichsweise geringen Zugriff.

Bei VikingVPN und TorGuard hatte der Hacker vollen Zugriff aufs Rootverzeichnis. Bei Viking waren sogar mehrere Clients in Chicago betroffen und von jeden dieser Clients noch die Schlüssel auslesbar.

Aber bei TorGuard hat es sich am meisten gelohnt. Weil hier bekam der Angreifer User-Zugriffe mit IP und den zugehörigen OpenVPN Config-Files inkl. Schlüssel.

Da war ja das bei NordVPN gar nicht der Rede wert. Wenn man sieht, wie einfach man bei den anderen noch mehr Daten komprimitieren kann.

VikingVPN
TorGuard
NordVPN