Vor kurzem sind Informationen über einen NordVPN-Verstoß aufgetaucht, der durch Schwachstellen in einem Rechenzentrum eines Drittanbieters verursacht wurde. Hier sind die wichtigsten Fakten über die Situation der NordVPN-Verletzung:
-
Ein Server war im März 2018 in Finnland betroffen. Der Rest unseres Services war nicht betroffen. Es wurden keine anderen Server jeglicher Art gefährdet. Dies war ein Angriff auf unseren Server, nicht auf unseren gesamten Service.
-
Der Verstoß wurde durch eine schlechte Konfiguration seitens eines Rechenzentrums eines Drittanbieters ermöglicht, über die wir nie informiert wurden. Es gibt Hinweise darauf, dass das Rechenzentrum, als es von dem Einbruch erfuhr, die Konten gelöscht hat, die die Schwachstellen verursacht hatten, anstatt uns über ihren Fehler zu informieren. Sobald wir von der Verletzung erfahren haben, wurden der Server und unser Vertrag mit dem Provider gekündigt und wir begannen mit einer umfangreichen Überprüfung unseres Dienstes.
-
Es wurden keine Benutzeranmeldeinformationen betroffen.
-
Es gibt keine Anzeichen dafür, dass der Eindringling versucht hat, den Benutzerverkehr in irgendeiner Weise zu überwachen. Selbst wenn dies der Fall wäre, hätten sie keinen Zugriff auf die Anmeldeinformationen dieser Benutzer gehabt.
-
Der Angreifer erwarb TLS-Schlüssel, die unter außergewöhnlichen Umständen dazu verwendet werden konnten, einen einzelnen Benutzer im Web mit einem speziell ausgerichteten und hoch entwickelten MITM-Angriff anzugreifen, den wir im Folgenden näher erläutern. Diese Schlüssel konnten und können nicht verwendet werden, um verschlüsselten NordVPN-Verkehr in irgendeiner Form zu entschlüsseln.
-
Zwei weitere VPN-Anbieter wurden von Angriffen betroffen, die von demselben Eindringling veröffentlicht wurden. Wir glauben nicht, dass es sich um einen gezielten Angriff auf NordVPN handelte.
Der Vorfall zeigte effektiv, dass der betroffene Server keine Benutzeraktivitätsprotokolle enthielt. Um ähnliche Vorfälle zu vermeiden, verschlüsseln wir unter anderem die Festplatte jedes neuen Servers, den wir bauen. Die Sicherheit unserer Kunden hat für uns höchste Priorität und wir werden unsere Standards immer weiter erhöhen.
Hier ist die ganze Geschichte zusammen mit weiteren technischen Informationen:
Vor einigen Monaten wurden wir auf einen Vorfall im März 2018 aufmerksam, als auf einen Server in einem Rechenzentrum in Finnland, von dem wir Server gemietet hatten, ohne Genehmigung zugegriffen wurde. Dies geschah über ein unsicheres Remote-Management-Systemkonto, das das Rechenzentrum ohne unser Wissen hinzugefügt hatte. Das Rechenzentrum löschte die Benutzerkonten, die der Eindringling ausgenutzt hatte, anstatt uns zu informieren.
Der Eindringling hat keine Benutzeraktivitätsprotokolle gefunden, da sie nicht existieren. Sie haben die Identitäten, Benutzernamen oder Passwörter der Benutzer nicht erkannt, da keine unserer Anwendungen benutzerdefinierte Anmeldeinformationen zur Authentifizierung sendet.
Der Eindringling hat einen TLS-Schlüssel gefunden und erworben, der bereits abgelaufen ist. Mit diesem Schlüssel konnte ein Angriff im Web nur gegen ein bestimmtes Ziel durchgeführt werden und würde einen außerordentlichen Zugriff auf das Gerät oder Netzwerk des Opfers erfordern (wie ein bereits kompromittiertes Gerät, ein bösartiger Netzwerkadministrator oder ein kompromittiertes Netzwerk). Ein solcher Angriff wäre sehr schwer durchführbar. Abgelaufen oder nicht, dieser TLS-Schlüssel konnte nicht verwendet werden, um den NordVPN-Verkehr in irgendeiner Weise zu entschlüsseln. Das ist es nicht, was es tut.
Dies war ein Einzelfall, und keine anderen Server oder Rechenzentrumsprovider, die wir verwenden, sind betroffen.
Nachdem wir von dem Vorfall erfahren hatten, haben wir zunächst unseren Vertrag mit dem Anbieter gekündigt und den Server, den wir seit dem 31. Januar 2018 betrieben hatten, beseitigt. Daraufhin haben wir umgehend ein gründliches internes Audit unserer gesamten Infrastruktur eingeleitet. Wir mussten sicherstellen, dass kein anderer Server auf diese Weise ausgenutzt werden kann. Leider braucht es Zeit, um die Anbieter und Konfigurationen für über 5.000 Server auf der ganzen Welt gründlich zu überprüfen. Infolgedessen beschlossen wir, die Öffentlichkeit nicht zu informieren, bis wir sicher sein konnten, dass ein solcher Angriff nicht irgendwo anders auf unserer Infrastruktur repliziert werden konnte. Schließlich haben wir unsere Standards für aktuelle und zukünftige Rechenzentrumspartner noch weiter angehoben, um sicherzustellen, dass es nie wieder zu ähnlichen Verletzungen kommt.
Wir möchten, dass unsere Nutzer und die Öffentlichkeit das Ausmaß des Angriffs genau verstehen und wissen, was gefährdet war und was nicht. Der Verstoß betraf einen von über 3.000 Servern, die wir damals für einen begrenzten Zeitraum hatten, aber das ist keine Entschuldigung für einen gewaltigen Fehler, der nie hätte gemacht werden dürfen. Unser Ziel ist es, die Schwere und Bedeutung dieser Verletzung nicht zu untergraben. Wir hätten mehr tun sollen, um unzuverlässige Serveranbieter herauszufiltern und die Sicherheit unserer Kunden zu gewährleisten.
Seit der Entdeckung haben wir alle notwendigen Mittel ergriffen, um unsere Sicherheit zu erhöhen. Wir haben uns einem Application Security Audit unterzogen, arbeiten derzeit an einem zweiten No-Logs-Audit und bereiten ein Bug-Bounty-Programm vor. Wir werden alles daran setzen, die Sicherheit in allen Bereichen unseres Dienstes zu maximieren, und im nächsten Jahr werden wir ein unabhängiges externes Audit unserer gesamten Infrastruktur durchführen.
Unser Ziel ist es, die Öffentlichkeit über diesen Verstoß zu informieren und aufzuklären. Nur so können wir uns von diesem erheblichen Rückschlag erholen und unsere Sicherheit noch weiter erhöhen.
(NordVPN - eigenes Statement, offizielle Reaktion! 22.10.2019)