NordVPN признал взлом и проникновение посторонних в сеть финского дата-центра

Неизвестный взломщик получил несанкционированный доступ к серверам NordVPN в Финляндии, рассказали сами владельцы VPN-сервиса. Как подчеркнул TechCrunch, взлом произошёл ещё в 2018, владельцы узнали о нём «несколько месяцев назад», но признались в проблемах только сейчас, так как: «хотели на 100% убедиться, что каждый компонент инфраструктуры безопасен».

С 25 мая 2018 года по регламенту ЕС (General Data Protection Regulation, GDPR) за небрежное обращение с персональными данными или утечки бизнес может быть оштрафован Евросоюзом на 4% своего глобального годового оборота или сумму до 20 миллионов евро (используется бОльшая величина). По регламенту сервисы обязаны рассказать регулятору о любых нарушениях принципов обработки и утечках персональных данных не позднее 72 часов после обнаружения проблемы.

Хакер использовал систему удалённого управления, установленную арендодателем дата-центра. Владельцы NordVPN заверили, что через неё злоумышленник не смог бы перехватывать логины и пароли пользователей (эксперты, опрошенные TechCrunch, в этом сомневаются). Однако мог отслеживать логи путешествий по сети. Финский сервер NordVPN был не защищён, как минимум, с 31 января по 20 марта 2018 года. NordVPN использовал криптографические ключи с истёкшим сроком действия. Потенциально это давало возможность злоумышленникам развернуть собственные серверы, имитирующие NordVPN. Одновременно TechCrunch допустил, что в указанные сроки хакеры могли атаковать TorGuard и VikingVPN. Пара конкурирующих сервисов тоже может быть скомпрометирована.

В марте 2019 года российский Роскомнадзор попросил NordVPN цензурировать трафик по российскому реестру запрещённых сайтов, но владельцы сервиса отказали регулятору.

Спустя месяц, в апреле 2019 года эксперты заметили в NordVPN подозрительный трафик. Исследователь безопасности Райан Нимес (Ryan Niemes) обнаружил обращения NordVPN к странным доменам у которых отсутствовал владелец. В ответ на обращение недоумевающего Нимеса к разработчикам, NordVPN пообещали исправить проблему, однако даже после обновления странные подключения сохранились. Позднее Нимес установил, что запросы раскрывали user-agent, версию приложения, сборку ОС хоста и адрес IPv4 пользователя NordVPN. Владельцы сервиса объяснили происходящее особенностями работы механизма обхода блокировок.