NordVPN, violazione dello scorso anno resa nota solo ora

NordVPN, violazione dello scorso anno resa nota solo ora

Lo scorso anno una violazione di un server portò alla sottrazione di tre chiavi private utilizzate per firmare certificati. La società però afferma che l'impatto è stato limitato

di pubblicata il , alle 12:41 nel canale Security
 

NordVPN, fornitore di servizi reti private virtuali, ha comunicato nei giorni scorsi di essere stata vittima di una violazione che ha portato al furto di tre chiavi crittografiche (usate per firmare l'autenticità di un sito web) che potrebbero essere state utilizzate per compiere attacchi man-in-the-middle, deviando il traffico degli utenti del servizio verso un server contraffatto. Le VPN o Virtual Private Network nascondono la nostra posizione e la nostra attività creando una connessione sicura, privata e crittografata fra il nostro computer e internet, offrendo privacy e libertà di navigazione.

La società ne da comunicazione ora, ma i fatti risalgono a marzo 2018, con la violazione di uno dei server che la società sfruttava allora a noleggio presso un datacenter finlandese. La violazione è stata conseguenza dello sfruttamento di un sistema di gestione remota che il gestore del datacenter aveva installato sul server senza darne comunicazione a NordVPN. La finestra temporale per cui il server è rimasto vulnerabile per via della presenza di questo sistema riguarda il periodo da 31 gennaio 2018 al 20 marzo 2018. NordVPN afferma che l'unica violazione avvenuta è quella che risale al mese di marzo 2018, oggetto della vicenda. NordVPN ha terminato il contratto con il datacenter finlandese dopo aver appreso dell'esistenza di tale sistema di gestione remota, non autorizzato.

Il command log del server violato mostra che gli hacker hanno avuto accesso di root, il che significa un controllo pressoché totale sul server con la possibilità di leggere o modificare praticamente qualsiasi dato conservato su di esso. Non è chiaro per quanto tempo gli attaccanti abbiano potuto operare sul server o se siano stati in grado di usare i privilegi di accesso per compiere altre operazioni. Ma indubbiamente la gravità della compromissione, unita al furto delle chiavi e alla scarsità di dettagli e informazioni divulgate da NordVPN, sollevano preoccupazioni piuttosto serie.

La società, nel comunicato ufficiale, specifica che solamente un server è stato violato, assicura che le credenziali degli utenti non sono state compromesse e afferma che non vi sono segni che dimostrino il tentativo di monitorare il traffico degli utenti. NordVPN specifica ulteriormente:

"L'attaccante ha acquisito chiavi TLS che, in straordinarie circostanze, potrebbero essere usati per attaccare un singolo utente sul web usando un attacco Man-in-the-Middle precisamente indirizzato ed altamente sofisticato. Queste chiavi non possono essere usate per decifrare traffico di NordVPN in alcun modo".

E riguardo al ritardo tra l'accaduto e la notifica pubblica, NordVPN argomenta:

"Una volta scoperto l'incidente, abbiamo dapprima concluso il contratto con il fornitore ed eliminato il server che ha operato sin dal 31 gennaio 2018. Abbiamo immediatamente lanciato un'indagine interna della nostra intera infrastruttura. Dovevamo assicurarci che nessun altro server potesse essere stato violato in questo modo. Sfortunatamente revisionare i provider e le confgiurazioni per oltre 5 mila server nel mondo richiede tempo. Di conseguenza abbiamo deciso di non dare comunicazione al pubblico fino a quando non fossimo sicuri che un attacco del genere non potesse essere replicato da nessun'altra parte nella nostra infrastruttura. Infine abbiamo elevato ulteriormente i nostri standard per gli attuali e i futuri datacenter partner per assicurare che violazioni simili non possano accadere mai più. Vogliamo che i nostri utenti e il pubblico capiscano accuratamente la portata dell'attacco e ciò che è stato e non è stato messo a rischio. La violazione ha interessato uno di oltre 3 mila server che avevamo allora per un periodo di tempo limitato, ma non ci sono scuse per un grave errore che non avrebbe mai dovuto essere commesso. Il nostro obiettivo non è ridimensionare la gravità e l'importanza di questa violazione. Avrmmo dovuto fare di più per filtrare i fornitori server non affidabili e garantire la sicurezza dei nostri clienti".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

18 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6923 Ottobre 2019, 13:32 #1
Ovviamente l'impatto negativo pubblicitario riguardo un evento avvenuto un anno fa è minore dei rischi derivanti da una comunicazione tempestiva.
Ma intanto i clienti per un anno non hanno saputo cosa possa essere successo ai propri dati in quella finestra temporale....
lemming23 Ottobre 2019, 14:03 #2
GDPR?
pabloski23 Ottobre 2019, 14:30 #3
Originariamente inviato da: giovanni69
Ovviamente l'impatto negativo pubblicitario riguardo un evento avvenuto un anno fa è minore dei rischi derivanti da una comunicazione tempestiva.
Ma intanto i clienti per un anno non hanno saputo cosa possa essere successo ai propri dati in quella finestra temporale....


però siamo seri

se sei un tizio che vuole accedere a netflix e compagnia, superando il geoblocking, te ne frega meno di zero di quanto accaduto

se sei un tizio che ha veramente bisogno di anonimato in rete, allora fidarsi di un servizio terzo, gestito da una compagnia, con tutto quello che sappiamo del e sul Datagate, è folle

l'anonimato parziale si raggiunge con TOR, non certo con una VPN

e se proprio si vuole usare una VPN, perchè non si ha bisogno di molto altro, allora vale la pena affittare un VPS/server proprio e settare il tutto ( e cambiare VPS frequentemente )

perchè pensare che NordVPN o chiunque altro, veramente non logghi niente, veramente non si pieghi alle richieste di CIA, NSA e compagnia...cioè, allora tanto vale credere a Babbo Natale
marcram23 Ottobre 2019, 14:44 #4
Originariamente inviato da: pabloski
perchè pensare che NordVPN o chiunque altro, veramente non logghi niente, veramente non si pieghi alle richieste di CIA, NSA e compagnia...cioè, allora tanto vale credere a Babbo Natale


Non è che CIA e NSA abbiano legislazione in tutto il mondo, eh...
pabloski23 Ottobre 2019, 14:49 #5
Originariamente inviato da: marcram
Non è che CIA e NSA abbiano legislazione in tutto il mondo, eh...


In buona parte si. E non è questione di giurisdizione, perchè tanto il governo americano è in grado di fare "proposte che non si possono rifiutare".

Tanto per dire. Che ci fanno le prigioni clandestine della CIA in Romania e Repubblica Ceca?

Secondo te un Paese dell'UE può dire di no ad una richiesta di backdooring da parte di NSA/CIA?
marcram23 Ottobre 2019, 14:51 #6
Dipende dagli accordi che hanno.
Forse i paesi UE no, ma la Svizzera, ad esempio, lo fa...
pabloski23 Ottobre 2019, 15:49 #7
Originariamente inviato da: marcram
Dipende dagli accordi che hanno.
Forse i paesi UE no, ma la Svizzera, ad esempio, lo fa...


Formalmente la Svizzera lo fa. Ma nella pratica? Cioè davvero la Svizzera può rifiutare una richiesta del genere, che arrivi magari tramite canali "diplomatici"?

Ovvio che se sei uno che uso le VPN per il geoblocking, non gliene frega un tubo. Ma se colpisci più in alto, sta sicuro che arriveranno pure a minacciare un capo di Stato, per ottenere quello che vogliono.

Per questo dicevo che le VPN non sono sicure per chi svolge certe attività online.
canislupus23 Ottobre 2019, 16:45 #8
Francamente se bucano o chiedono dei log per degli affari illeciti di qualcuno, io sono ben felice che vi sia un assenso sia che la richiesta arrivi dalla CIA, NSA, SISDE, Babbo Natale...
L'anonimato e la privacy sono delle cose molto belle, ma un minimo di controllo è sempre bene averlo piuttosto che andare totalmente allo sbaraglio.
Comunque nel caso specifico della news mi sembra di capire che non sia stato un problema di NordVPN, ma del datacenter che per sue esigenze interne ha installato un software di controllo remoto che chiaramente lascia aperto un bel buco nella sicurezza e questo forse è molto più grave.
frank808523 Ottobre 2019, 16:48 #9
quello che so è che nordvpn ha sede a panama, che non è dei 5 eyes nè 14 eyes quindi
reputo veramente impossibile che il potere della CIA/NSA si estenda anche là.

Originariamente inviato da: pabloski
Formalmente la Svizzera lo fa. Ma nella pratica? Cioè davvero la Svizzera può rifiutare una richiesta del genere, che arrivi magari tramite canali "diplomatici"?


non so che tipo di minacce gli USA potrebbero fare alla svizzera per convincerla a cedere...
capisco l'UE ma veramente c'è poco potere di minaccia nei confronti di un paese del genere... anche se sei gli USA
Originariamente inviato da: canislupus
Francamente se bucano o chiedono dei log per degli affari illeciti di qualcuno, io sono ben felice che vi sia un assenso sia che la richiesta arrivi dalla CIA, NSA, SISDE, Babbo Natale...
L'anonimato e la privacy sono delle cose molto belle, ma un minimo di controllo è sempre bene averlo piuttosto che andare totalmente allo sbaraglio.


tra affermare che la privacy è un illusione e affermare che siamo ben felici di consegnare i dati e inoltre ci piacerebbe dimenticare le conseguenze positive del datagate di Snowden... c'è una distanza abissale
circa quella tra essere d'accordo sulla prima parte della frase ed essere in totale disaccordo sul resto

(perchè affermare che per noi va bene consegnare i dati, vorrebbe dire ammettere che della situazione mondiale prima del datagate era positiva, era positivo il fatto che segretamente venissero installate backdoor ovunque nel mondo perchè siamo tutti potenziali terroristi, e per giunta equivale ad affermare che la sorveglianza di massa ha senso e si è rivelata efficace (nn esiste prova a riguardo, anzi numerose controprove)). e inoltre significa ammettere che sia giusto che agenzie segrete americane abbiamo supremazia su tutte le altre nazioni attraverso questo sistema di sorveglianza, status di supremazia che defacto è stato denunciato nel datagate)
frank808523 Ottobre 2019, 16:55 #10
-

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^