Een van de servers van NordVPN is vorig jaar gehackt. Dat zegt de provider van VPN-diensten zelf in een mededeling. Bij het lek zijn de surfgewoonten van enkele klanten korte tijd blootgesteld.
NordVPN zegt dat een van zijn servers gehackt is in maart van 2018. Het gaat om een server in een Fins datacenter. Daarbij werd het surfgedrag blootgesteld van klanten die de VPN-dienst gebruiken om hun gegevens privaat te houden. Het bedrijf minimaliseert de schade en zegt dat er bij het lek geen logs, gebruikersnamen of wachtwoorden werden buitgemaakt.
“Mogelijke aanvallers konden alleen in die ene server en konden tijdens de inbraak alleen het verkeer en de websites zien die gebruikers bezochten, niet de inhoud van de websites. Dat gebeurde voor een korte periode, en alleen in die regio,” zegt Tom Okman van NordVPN’s adviesraad aan techsite The Verge. De inbrekers zouden dus in staat geweest zijn om het niet-beveiligde (http) verkeer van gebruikers te monitoren, samen met dns lookups. NordVPN houdt geen logs van surfgedrag bij, en zegt dat ook wachtwoorden en logins niet meegestuurd worden met verkeer door de server gaat.
De server in kwestie was kwetsbaar tussen 31 januari 2018 en 20 maart 2018. Volgens NordVPN werd hij er echter alleen in maart korte tijd aangesproken door onbevoegden. Daarbij zou een encryptiesleutel gestolen zijn, die ondertussen is vervallen. Nog volgens NordVPN kan die gebruikt zijn voor een man-in-the-middle aanval, waarbij de aanvallers zich konden voordoen als NordVPN om wachtwoorden en gebruikersnamen te stelen. Zo’n aanval zou volgens NordVPN ‘gepersonaliseerd en ingewikkeld’ zijn.
Aan de grond van het probleem ligt een kwetsbaarheid in het remote managementsysteem, die aanvallers toegang zou hebben gegeven tot de server. NordVPN legt de verantwoordelijkheid daarvoor bij de hoster, en heeft ondertussen de banden verbroken. Techsite The Register heeft dan weer gebeld met Creanova, het datacenter waar de server in kwestie zou gestaan hebben. Niko Viskar, de baas van dat datacenter, zegt aan de techsite dat de inbraak de schuld is van NordVPN, omdat zij hun remote management tool niet goed hadden ingesteld. “Ja, ik kan bevestigen dat zij onze klanten waren,” zegt Viskari aan de techsite, “en ze hadden een probleem met hun security omdat zij die zelf niet in orde hebben gemaakt.”
NordVPN is een van de grotere providers van VPN-diensten, met zo’n 12 miljoen klanten. De server in Finland zou door zo’n 200 mensen gebruikt zijn in de kwetsbare periode.
Fout opgemerkt of meer nieuws? Meld het hier