违规后Nord要求人们再次信任其VPN

“ NordVPN每次您使用公共Wi-Fi，在旅途中访问个人和工作帐户，或希望将浏览历史记录保留给您时，都可以放心使用。” 这只是NordVPN主页上吹捧的众多优势的一小部分，NordVPN是虚拟专用网络服务或VPN的最著名商业提供商之一。近年来，随着我们寻求方法来保护我们的数字隐私免受ISP，广告商和政府等的侵害，VPN变得越来越流行。但是“安心”与Nord客户上周的情况相反，当时该公司被迫承认第三方服务器的安全漏洞影响了其2018年的服务。

是的，据TechCrunch称，NordVPN的5,100台服务器之一被“黑客入侵”，尽管该公司强烈否认这一特征。但需要明确的是，Nord并不是“被Equifax黑客入侵 ”的，它面临的安全漏洞更像是有人在未锁车里翻箱倒柜，而不是在贼车里开满头的侠盗猎车手。但是对于一家宣称自己是个人安全和隐私堡垒的公司来说，任何闯入都是一件很严重的事情-对于与消费者VPN竞争如此激烈的领域而言，这是双重的。

阅读更多： 2019年最好的VPN服务

发生了什么

就像几乎所有大型虚拟专用网络(VPN)公司一样，Nord从世界各地的第三方数据中心租用服务器空间。未知的攻击者拥有对芬兰单个Nord服务器的root访问权限，因为该数据中心使自己的服务器管理系统不安全。攻击者掌握了一些安全证书，这些证书与一些骗子相结合，可以假设被用来创建伪造的Nord服务器，直到它们过期为止。

Nord 在公开声明中表示，该违规行为发生在2018年3月，但Nord仅在“几个月前”才发现此事。该公司当时对这一消息的反应是立即终止与数据中心的合同，并默默地着手审核其5,000台服务器中的每台服务器是否存在类似风险。

Nord技术顾问委员会的汤姆·奥克曼(Tom Okman)告诉CNET，该过程仍在进行中。

Okman说：“我们必须与世界各地的数百个数据中心联系，以确保其他任何服务器上都没有未验证的帐户。”

不过，与此同时，Nord继续宣传自己是在线安全保障的堡垒。直到Twitter上的一位安全研究人员 指控Nord遭到“某种程度的妥协” 后，它才向用户或公众披露这一事件。此后不久，Nord发表了博客文章。

因此，显然NordVPN在某个时候受到了损害。他们的(过期的)私钥已经泄露，这意味着任何人都可以使用这些密钥来设置服务器... pic.twitter.com/TOap6NyvNy

-undefined(@hexdefined)2019年10月20日

这个时机并没有激发安全媒体和关注隐私的人们的信心。

“发生了很多事情，没有人为此而对NordVPN提出过错，但是人们似乎不了解的是，使用VPN服务时，您购买的是一种服务形式的信任。如果这种信任受到侵犯，那么就有使用该服务毫无意义。” 一位评论者写道。

总体而言，攻击者无法查看到大约50至200个用户间歇地通过该服务器进行路由的任何情况，通常一次只能查看五分钟。该公司表示，没有密码，用户名，凭据或NordVPN帐户信息发送到该基础架构部分。

三个加密密钥被泄漏，但是它们在一小时后就没用了。即使剥离了单层VPN加密后，用户的互联网流量仍然受到其他加密层的保护，这意味着攻击者将只能看到互联网服务提供商对于大多数用户可能会看到的内容-您在哪个域正在访问，以及在网站上花费了多少时间等等。

好消息是，攻击者看不到其他东西了，因为Nord不会保留用户活动日志。这是最大的VPN的新赌注，因为它是市场上最显着的隐私保证之一。去年，Nord成为第一个对其无日志记录政策进行了独立审核的主要VPN 。

这是交易破坏者吗?

我问西北大学Khoury计算机科学学院的教授Engin Kirda，在使用NordVPN时，这种服务器漏洞是否应该成为人们的交易突破点。

柯达说：“不幸的是，发生服务器违规-即使您已经做好充分的准备，认为这将永远不会发生在您身上，这是不现实的。” “即使您正确执行了所有操作，您仍然经常仍然依赖第三方服务和第三方软件，并且那里可能存在您不知道的未知漏洞。绝对不可能实现绝对安全。”

他说，一个好的公司应该做的是努力发现可能最快发生的任何违规情况。

柯达说：“在这种情况下，被泄露的第三方似乎没有通知诺德，这可能会使某些客户处于危险中(如果客户信息丢失了)。” “诺德似乎正在认真对待这一点，并确保他们对第三方的依赖不会在将来导致类似的情况。在现阶段，这可能是他们所能做的最好的事情。”

诺德(Nord)在网上了解到很多漏洞，因为他们在得知该漏洞后并未立即承担该漏洞。与此相比，例如密码管理器提供商LastPass，它在9月份通知并修复了漏洞之后便自动披露了一个问题。

但是有一个很好的理由，就是VPN希望在全世界都不知道的情况下进行这种审核。如果您是恶意黑客，并且发现某人以某种方式进入了行业领先的VPN服务器，那么您要做的第一件事就是复制攻击。

“借助VPN服务，您可以购买信任。”

Wilk Auslander LLP合伙人，该公司网络安全业务部主席Scott Watnik表示，除非绝大多数个人法律信息被盗，否则美国绝大多数的网络法律都不会将未经授权的访问视为“网络违规”。 。

沃特尼克说：“如果没有从网络上获取或泄露个人信息，那么实际上就不需要披露这一事件了。” “如果始终保持Nord用户的匿名性，那么就会破坏您的安全性，但不会破坏隐私。从这个角度看，如果确实保护了隐私……就不会发生网络泄露。”

Nord的Okman说，他当然希望在审计完成后才披露该违规行为，但是一旦猫从袋子里拿出来了，Nord需要响应用户的担忧。Okman说，Nord正在提高与之签约的数据中心的标准。他还同意可以采用更好的做法。

奥克曼说：“我们现在正在进行内部审核，因此我们将对它们有更大的要求，只是为了验证将来不会发生这种情况。”

Nord还改善了服务器的安全性，包括仅使用物理硬件服务器。

“我们现在正在建设仅加密服务器，不受此类违规行为，我们也在开发过程中，将所有我们的网络到RAM盘，”一个北发言人说。“我们已经彻底检查了受影响的服务器，以查看是否安装了任何其他软件或进行了配置更改。没有迹象表明可能有人干预了它。”

信任问题

（编辑：ASP站长网）