NordVPN, salah satu penyedia VPN konsumen yang paling menonjol dan dihormati, telah mengkonfirmasi bahwa salah satu servernya diakses tanpa otorisasi.


Kisah itu pecah setelah NordVPN memposting pernyataan yang agak impulsif dan bodoh di Twitter.

Tweet NordVPN

Alih-alih pernyataan fakta, twitterverse melihat ini sebagai sebuah tantangan dan itu tidak lama sebelum sebuah kelompok yang menyebut dirinya KekSec mengungkapkan bahwa peretas telah mengakses server dan membocorkan konfigurasi OpenVPN Nord dan terkait kunci pribadi serta sertifikat TLS.

Tanggapan twitter Keksec

NordVPN kini mengakui pelanggaran tersebut, yang menyatakan bahwa penyerang memperoleh akses ke server sewaan di Finlandia dengan mengeksploitasi sistem manajemen jarak jauh tidak aman yang ditinggalkan oleh penyedia pusat data.

Latar Belakang

Pada bulan Maret 2018, sertifikat TLS milik server web NordVPN, VikingVPN, dan TorGuard diposting di 8chan. Sertifikat ini sekarang telah kedaluwarsa tetapi masih berlaku pada saat posting. Terlepas dari upaya NordVPN untuk mengecilkan pelanggaran tersebut, publikasi ini membuktikan tanpa keraguan bahwa NordVPN telah dikompromikan pada titik tertentu di masa lalu.

Siapa pun yang memperoleh sertifikat ini harus memiliki akses root ke wadah web server yang terpengaruh dan karenanya akan memiliki kontrol penuh atas server, termasuk kemampuan untuk mengendus dan merusak data yang melewatinya..

Secara teori, ini juga berarti bahwa siapa pun dapat membuat situs web tiruan yang mengaku milik NordVPN, VikingVPN, atau TorGuard, yang oleh peramban Anda akan dianggap asli. Memang, seseorang bahkan memposting contoh serangan seperti itu dalam aksi:

Situs web Tianyu Zhu

NordVPN, bagaimanapun, memberi tahu kami bahwa serangan MitM seperti itu tidak akan mungkin terjadi kecuali seorang penyerang dapat meretas ke dalam komputer pengguna seseorang atau untuk mencegat dan memodifikasi lalu lintas jaringan mereka.

Masalah yang lebih besar

Juga menjadi jelas bahwa kunci SSL pribadi untuk sertifikat OpenVPN NordVPN "juga baru saja beredar sebagian besar tanpa disadari" untuk beberapa waktu sekarang. Astaga! Ini memicu spekulasi bahwa penyerang dapat mendekripsi sesi VPN pengguna, termasuk sesi VPN sebelumnya, yang memungkinkan mereka untuk melihat apa yang pelanggan NordVPN bangun secara online.

Sekali lagi, NordVPN ingin sekali menuangkan air dingin pada ide ini. "Baik Sertifikat TLS atau Kunci VPN tidak dapat digunakan untuk mendekripsi lalu lintas VPN biasa atau sesi VPN yang sebelumnya direkam," kata mereka kepada ProPrivacy..

Perlu diingat, sesi OpenVPN NordVPN menggunakan kerahasiaan maju sempurna (kunci enkripsi singkat) melalui DHE-2096 kunci Diffie-Hellman selama pertukaran kunci TLS. Jadi, bahkan jika sesi VPN dengan paksa dipaksa dengan biaya besar dalam bentuk uang, tenaga dan komputasi, hanya satu jam sesi VPN yang akan dikompromikan sebelum kunci diubah.

Meskipun titik ini dapat diperdebatkan karena penyerang jelas memiliki akses root ke server VPN.

Game menyalahkan

NordVPN telah menerbitkan pernyataan resmi tentang insiden tersebut, di mana ia menjelaskan bahwa hanya satu server yang berlokasi di Finlandia yang terpengaruh. Ia juga mengatakan bahwa kesalahan terletak pada staf pusat server:

“Penyerang mendapatkan akses ke server dengan mengeksploitasi sistem manajemen jarak jauh yang tidak aman yang ditinggalkan oleh penyedia pusat data. Kami tidak menyadari bahwa sistem seperti itu ada. "

Namun, kami harus mengatakan bahwa kami merasa perusahaan sebesar NordVPN harus mengirim teknisi sendiri untuk menyiapkan server VPN bare-metal sendiri, daripada mengandalkan staf server pihak ketiga yang berpotensi tidak dapat dipercaya untuk mengatur server VPN mereka..

Dalam pandangan kami, layanan VPN harus memiliki kontrol penuh atas servernya. Melakukan ini akan jauh menuju pengerasan jaringan server VPN terhadap semua ancaman. Menariknya, ini juga merupakan pandangan yang dipegang oleh Niko Viskari, CEO dari pusat server yang dimaksud:

"Ya, kami dapat mengonfirmasi [Nord] adalah klien kami," Viskari memberi tahu The Register. "Dan mereka memiliki masalah dengan keamanan mereka karena mereka tidak mengurusnya sendiri.

...mereka memiliki masalah dengan keamanan mereka karena mereka tidak mengurusnya sendiri

Niko Viskari

"Kami memiliki banyak klien, dan beberapa penyedia layanan VPN besar di antara mereka, yang menjaga keamanan mereka dengan sangat kuat, "katanya, menambahkan:" NordVPN tampaknya tidak lebih memperhatikan keamanan sendiri, dan entah bagaimana mencoba untuk memakai ini bahu kita."

Dalam pernyataannya, Viskari menjelaskan bahwa semua server yang disediakan oleh perusahaannya menggunakan alat akses jarak jauh iLO atau iDRAC. Ini telah diketahui masalah keamanannya dari waktu ke waktu, tetapi pusat server menyimpannya dengan pembaruan firmware terbaru dari HP dan Dell.

Tidak seperti pelanggan lainnya yang lain, NordVPN tidak meminta alat-alat ini dibatasi dengan menempatkan mereka "di dalam jaring pribadi atau mematikan port sampai mereka dibutuhkan."

NordVPN, pada bagiannya, mengklaim tidak tahu alat ini ada; tetapi jika sudah menyiapkan server sendiri masalahnya tidak akan pernah muncul.

"Kami tidak segera mengungkapkan eksploitasinya karena kami harus memastikan bahwa tidak ada infrastruktur kami yang rentan terhadap masalah serupa."

Yang tidak menjelaskan mengapa masalah ini membutuhkan waktu 18 bulan untuk terungkap, dengan NordVPN akhirnya hanya mengakui itu setelah Twitterstorm yang melihat bukti yang memberatkan dipublikasikan secara luas di internet.

Namun, pada akhirnya, lebih banyak kerusakan yang terjadi pada reputasi NordVPN daripada privasi penggunanya.

"Meskipun hanya 1 dari lebih dari 3000 server yang kami miliki saat itu terpengaruh, kami tidak mencoba untuk meruntuhkan keparahan masalah ini." penyedia mengatakan dalam pernyataannya.

Kami gagal dengan mengontrak penyedia server yang tidak dapat diandalkan dan seharusnya melakukan yang lebih baik untuk memastikan keamanan pelanggan kami

"Kami gagal dengan mengontrak penyedia server yang tidak dapat diandalkan dan seharusnya melakukan yang lebih baik untuk memastikan keamanan pelanggan kami. Kami mengambil semua sarana yang diperlukan untuk meningkatkan keamanan kami. Kami telah menjalani audit keamanan aplikasi, sedang mengerjakan audit no-log kedua sekarang, dan sedang mempersiapkan program karunia bug. Kami akan memberikan yang terbaik untuk memaksimalkan keamanan dari setiap aspek layanan kami, dan tahun depan kami akan meluncurkan audit eksternal independen semua infrastruktur kami untuk memastikan kami tidak melewatkan hal lain."

Pernyataan ProPrivacy

ProPrivacy didedikasikan untuk memberikan saran kepada penggunanya yang dapat mereka percayai. Kami secara teratur memasukkan NordVPN dalam rekomendasi kami karena layanan fantastis yang mereka tawarkan. Sehubungan dengan kisah yang mendebarkan ini, kami akan menghapus NordVPN dari artikel terkait keamanan dan privasi kami sampai kami yakin bahwa layanan mereka memenuhi harapan kami dan orang-orang dari pembaca kami..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me