NordVPN confirma que un atacante violó un servidor alquilado de Finlandia
NordVPN confirmó el lunes que un atacante violó un servidor que alquiló en un centro de datos con sede en Finlandia. La compañía, que describió el evento como un ataque en lugar de un hack más común, dice que la violación tuvo lugar en marzo de 2018, pero el atacante no recuperó ninguna información del cliente.
"El atacante obtuvo acceso al servidor mediante la explotación de un sistema de gestión remota inseguro dejado por el proveedor del centro de datos mientras no sabíamos que tal sistema existía", informa la compañía. “El servidor en sí no contenía ningún registro de actividad del usuario; ninguna de nuestras aplicaciones envía credenciales creadas por el usuario para la autenticación, por lo que los nombres de usuario y las contraseñas tampoco podrían haber sido interceptados ".
El servidor en cuestión entró en línea el 31 de enero de 2018. La compañía no identificada que mantiene el centro de datos supuestamente descubrió que su cuenta de administración remota vulnerable permanecía en el servidor alquilado y la eliminó el 28 de marzo de 2018, sin informar a NordVPN. El popular proveedor de VPN supuestamente ni siquiera sabía que esta cuenta existía hasta "hace unos meses".
Una red privada virtual , o VPN, crea un "túnel" seguro a través de Internet. Estas conexiones originalmente estaban destinadas a los empleados para conectarse de forma remota a las redes de la empresa. Pero ahora los servicios de VPN están disponibles para las masas para acceder a contenido restringido por región y permanecer en el anonimato en línea. Los clientes se conectan esencialmente a un servidor remoto y usan su conexión para navegar por Internet, ocultando su dirección en línea en el proceso.
Aunque su proveedor de servicios de Internet no puede registrar su actividad mientras usa una VPN , no hay garantía de que los proveedores de servicios de VPN no estén haciendo un seguimiento de sus viajes en línea. Sin embargo, NordVPN declara que no mantiene registros, incluyendo "marcas de tiempo de conexión, información de sesión, ancho de banda utilizado, datos de tráfico, direcciones IP u otros datos".
NordVPN dice que no reveló la violación de inmediato debido a su larga investigación en toda su infraestructura.
"Teníamos que asegurarnos de que ninguna de nuestra infraestructura pudiera ser propensa a problemas similares", informa la compañía. "Esto no se pudo hacer rápidamente debido a la gran cantidad de servidores y la complejidad de nuestra infraestructura".
La alerta de seguridad llega después de que surgieron informes de que los atacantes violaron NordVPN y obtuvieron una clave de seguridad de la capa de transporte caducada. NordVPN dice que el atacante recuperó esta clave durante la violación, pero no se puede usar para descifrar el tráfico VPN en otros servidores. En cambio, el atacante podría crear un servidor NordVPN falso para redirigir el tráfico y lanzar un ataque man-in-the-middle en una sola conexión.
NordVPN dice que más de 3.000 servidores ejecutan su servicio VPN. En esta situación, contrató a un "proveedor de servidores poco confiable", y este fue un "caso aislado". La compañía canceló su contrato y "destruyó" todos los servidores alquilados a través del proveedor no identificado.