M
MaFio
Original poster
NordVPN, одна из самых популярных и широко используемых услуг VPN, признала инцидент, связанный с безопасностью, который, очевидно, скомпрометировал один (а возможно, несколько) из его тысяч серверов в Финляндии (может, еще где-то?!).
Похитили секретные ключи шифрования, используемые для защиты трафика пользователей, проходящий через взломанный сервер.
Доступ к этому серверу получен, используя систему удаленного управления, администрируемую поставщиком центра обработки данных.
Скомпрометированный сервер «не содержит никаких журналов активности пользователей; ни одно из приложений не отправляет созданные пользователем учетные данные для аутентификации, поэтому имена пользователей и пароли также не могли быть перехвачены» - успокаивают в NordVPN
Однако … давайте разберемся
Удалось украсть три ключа шифрования TLS, отвечающих за защиту трафика пользователей VPN, маршрутизируемого через скомпрометированный сервер. Компания признала, что ключи действовали на момент взлома и срок их действия истек спустя почти 7 месяцев после инцидента.
Почти каждый веб-сайт сегодня использует HTTPS для защиты сетевого трафика своих пользователей, а виртуальные частные сети в основном просто добавляют дополнительный уровень аутентификации и шифрования к существующему сетевому трафику, туннелируя его через большое количество серверов (выходных узлов).
Теперь, имея в руках некоторые ключи шифрования, уже можно дешифровать этот дополнительный уровень защиты, который покрывает трафик, проходящий через скомпрометированный сервер, который, уж точно, можно использовать для расшифровки или взлома незашифрованного трафика HTTP.
DNS-запросы по умолчанию передаются в незашифрованном виде, если их не накрывать одним из трех нам известных протоколов шифрования, значит можно подумать над MiTM прям с сервера.
За 7 месяцев можно вообще хорошо поковырять на этом деде, раз уж доступ через систему удаленного управления, да и кажется, что лом больше, чем просто ключи.
Некоторым пользователям NordVPN есть о чем беспокоиться? Есть!
К тому же пишут, что NordVPN не одинок при данном инциденте …