Server van NordVPN korte tijd gehackt

23-10-2019 | door: Redactie

Server van NordVPN korte tijd gehackt

Een van de servers van NordVPN is vorig jaar gehackt. Dat zegt de provider van VPN-diensten zelf in een mededeling. Bij het lek was het surfgedrag van enkele klanten korte tijd inzichtelijk voor de aanvallers.

NordVPN zegt dat één van zijn servers gehackt is in maart van 2018. Het gaat om een server in een Fins datacenter. Daarbij werd het surfgedrag blootgesteld van klanten die de VPN-dienst gebruiken om hun gegevens privaat te houden. Het bedrijf minimaliseert de schade en zegt dat er bij het lek geen logs, gebruikersnamen of wachtwoorden werden buitgemaakt.

'Inhoud van sites was niet inzichtelijk'

"Mogelijke aanvallers konden alleen in die ene server en konden tijdens de inbraak alleen het verkeer en de websites zien die gebruikers bezochten, niet de inhoud van de websites. Dat gebeurde voor een korte periode, en alleen in die regio", zegt Tom Okman van NordVPN's adviesraad aan techsite The Verge. De inbrekers zouden dus in staat geweest zijn om het niet-beveiligde (http) verkeer van gebruikers te monitoren, samen met dns lookups. NordVPN houdt geen logs van surfgedrag bij, en zegt dat ook wachtwoorden en logins niet meegestuurd worden met verkeer door de server gaat.

De server in kwestie was kwetsbaar tussen 31 januari 2018 en 20 maart 2018. Volgens NordVPN werd hij er echter alleen in maart korte tijd aangesproken door onbevoegden. Daarbij zou een encryptiesleutel gestolen zijn, die ondertussen is vervallen. Volgens NordVPN kan die gebruikt zijn voor een man-in-the-middle aanval, waarbij de aanvallers zich konden voordoen als NordVPN om wachtwoorden en gebruikersnamen te stelen. Zo'n aanval zou volgens NordVPN 'gepersonaliseerd en ingewikkeld' zijn.

Kwetsbaarheid in remote managementsysteem

De bron van het probleem is een kwetsbaarheid in het remote managementsysteem, die aanvallers toegang zou hebben gegeven tot de server. NordVPN legt de verantwoordelijkheid daarvoor bij de hoster, en heeft ondertussen de banden verbroken. Techsite The Register heeft dan weer gebeld met Creanova, het datacenter waar de server in kwestie zou gestaan hebben. Niko Viskar, de baas van dat datacenter, zegt aan de techsite dat de inbraak de schuld is van NordVPN, omdat zij hun remote management tool niet goed hadden ingesteld. "Ja, ik kan bevestigen dat zij onze klanten waren," zegt Viskari aan de techsite, "en ze hadden een probleem met hun security omdat zij die zelf niet in orde hebben gemaakt."

NordVPN is één van de grotere providers van VPN-diensten, met zo'n 12 miljoen klanten. De server in Finland zou door zo'n 200 mensen gebruikt zijn in de periode waarin de hackers toesloegen.

In samenwerking met Datanews

Terug naar nieuws overzicht

Tags

Security