NordVPN, violazione dello scorso anno resa nota solo ora

NordVPN, fornitore di servizi reti private virtuali, ha comunicato nei giorni scorsi di essere stata vittima di una violazione che ha portato al furto di tre chiavi crittografiche (usate per firmare l'autenticità di un sito web) che potrebbero essere state utilizzate per compiere attacchi man-in-the-middle, deviando il traffico degli utenti del servizio verso un server contraffatto. Le VPN o Virtual Private Network nascondono la nostra posizione e la nostra attività creando una connessione sicura, privata e crittografata fra il nostro computer e internet, offrendo privacy e libertà di navigazione.

La società ne da comunicazione ora, ma i fatti risalgono a marzo 2018, con la violazione di uno dei server che la società sfruttava allora a noleggio presso un datacenter finlandese. La violazione è stata conseguenza dello sfruttamento di un sistema di gestione remota che il gestore del datacenter aveva installato sul server senza darne comunicazione a NordVPN. La finestra temporale per cui il server è rimasto vulnerabile per via della presenza di questo sistema riguarda il periodo da 31 gennaio 2018 al 20 marzo 2018. NordVPN afferma che l'unica violazione avvenuta è quella che risale al mese di marzo 2018, oggetto della vicenda. NordVPN ha terminato il contratto con il datacenter finlandese dopo aver appreso dell'esistenza di tale sistema di gestione remota, non autorizzato.

Il command log del server violato mostra che gli hacker hanno avuto accesso di root, il che significa un controllo pressoché totale sul server con la possibilità di leggere o modificare praticamente qualsiasi dato conservato su di esso. Non è chiaro per quanto tempo gli attaccanti abbiano potuto operare sul server o se siano stati in grado di usare i privilegi di accesso per compiere altre operazioni. Ma indubbiamente la gravità della compromissione, unita al furto delle chiavi e alla scarsità di dettagli e informazioni divulgate da NordVPN, sollevano preoccupazioni piuttosto serie.

La società, nel comunicato ufficiale, specifica che solamente un server è stato violato, assicura che le credenziali degli utenti non sono state compromesse e afferma che non vi sono segni che dimostrino il tentativo di monitorare il traffico degli utenti. NordVPN specifica ulteriormente:

"L'attaccante ha acquisito chiavi TLS che, in straordinarie circostanze, potrebbero essere usati per attaccare un singolo utente sul web usando un attacco Man-in-the-Middle precisamente indirizzato ed altamente sofisticato. Queste chiavi non possono essere usate per decifrare traffico di NordVPN in alcun modo".

E riguardo al ritardo tra l'accaduto e la notifica pubblica, NordVPN argomenta:

"Una volta scoperto l'incidente, abbiamo dapprima concluso il contratto con il fornitore ed eliminato il server che ha operato sin dal 31 gennaio 2018. Abbiamo immediatamente lanciato un'indagine interna della nostra intera infrastruttura. Dovevamo assicurarci che nessun altro server potesse essere stato violato in questo modo. Sfortunatamente revisionare i provider e le confgiurazioni per oltre 5 mila server nel mondo richiede tempo. Di conseguenza abbiamo deciso di non dare comunicazione al pubblico fino a quando non fossimo sicuri che un attacco del genere non potesse essere replicato da nessun'altra parte nella nostra infrastruttura. Infine abbiamo elevato ulteriormente i nostri standard per gli attuali e i futuri datacenter partner per assicurare che violazioni simili non possano accadere mai più. Vogliamo che i nostri utenti e il pubblico capiscano accuratamente la portata dell'attacco e ciò che è stato e non è stato messo a rischio. La violazione ha interessato uno di oltre 3 mila server che avevamo allora per un periodo di tempo limitato, ma non ci sono scuse per un grave errore che non avrebbe mai dovuto essere commesso. Il nostro obiettivo non è ridimensionare la gravità e l'importanza di questa violazione. Avrmmo dovuto fare di più per filtrare i fornitori server non affidabili e garantire la sicurezza dei nostri clienti".