Es ist wahr. Es gab bei dem beliebten Anbieter NordVPN einen Leak.
Aufgetaucht ist der Hack auf Twitter. In einem bereits gelöschten Tweet, von Nord VPN, wurde ein Link mit einer Textdatei veröffentlicht. In der Datei findet man den Beweis für den Hack. Der Link war die Antwort auf den Tweet:“Ain’t no hacker can steal your online life. (If you use VPN). Stay safe.“.
Inhaltsverzeichnis
Was bedeutet der NordVPN Leak?
Man findet Konfigurationsdateien von OpenVPN, Zertifikate und drei RSA-Schlüssel vor. Zwei davon sind von der OpenVPN-Konfiguration und ein Schlüssel ist ein Webseitenzertifikat. Ein Wildcard-Zertifikat für die NordVPN Domain, welches jedoch bereits im Oktober 2018 abgelaufen ist.
Das kann bedeuten, dass der NordVPN Leak schon älter ist, oder der Angreifer einen veralteten Schlüssel gestohlen hat. Jedoch hatte der Hacker, zum Zeitpunkt des Angriffs, Zugriff auf den Datenverkehr, die Server und auf private Schlüssel. Trotzdem muss man auch gleich noch erwähnen, dass es bei dem Hack nur einen einzelnen Server betroffen hat, von über 5.000. Der VPN-Server existiert nicht mehr und wurde am 13. April 2019 geschreddert.
Ist man jetzt nichtmehr sicher mit NordVPN?
Ist man jetzt nichtmehr sicher mit NordVPN?Die OpenVPN-Konfiguration nutzt einen Schlüsseltausch mit Diffie-Hellman, was bewirkt, dass die Verbindungen eine sogenannte Forward-Security-Eigenschaft haben. Aus diesem Grund kann man den VPN-Datenverkehr im Nachhinein nicht mehr entschlüsseln. Jedoch hätte der Hacker einen Man-in-the-Middle-Angriff starten können. Generell ist es nicht möglich, eine aufgezeichnete oder eine laufende VPN-Sitzung zu entschlüsseln.
Im offiziellen Blog des Anbieters kann man eine Äußerung zum Thema vorfinden: „Warum das NordVPN Netzwerk nach einer Datenpanne eines externen Serviceproviders sicher ist“
Es sind auch weitere VPN-Dienste betroffen!
Nicht nur NordVPN war von dem Leak betroffen. Der Angriff ging auch gegen VikingVPN und TorGuard. Der Hacker habe dabei ebenso Schlüssel gestohlen, heißt es. TorGuard hat sich zu dem Vorfall bereits in Form eines Blog-Beitrags geäußert. In dem Beitrag weisen sie darauf hin, dass sie ihren CA-Schlüssel niemals auf einem VPN-Server speichern würden. VikingVPN hat bis jetzt noch keinen Kommentar zum Hack-Angriff abgegeben. Da es die drei VPN-Anbieter getroffen hat, ist es auch leicht möglich, dass es noch mehr Kunden des finnischen Rechenzentrums erwischt haben könnte.
NordVPN Leak – Der Anbieter äußert sich dazu auf Twitter
Die ersten Äußerungen von NordVPN zum Leak betreffen nur die Online-Diskussion, die durch den bereits gelöschten Tweet ausgelöst wurde.
Der Anbieter veröffentlichte einen Tag später, den bereits oben erwähnten Blog-Breitrag. Weitere Aussagen des Anbieters beziehen sich, auf den TechCrunch-Artikel. NordVPN sagt, dass der Angreifer nur einen Server alleine gehackt hat und nicht den Service selbst. Der Anbieter würde alles versuchen, um seinen Kunden zu beweisen, dass der Hack ein Einzelfall war.
Die wichtigsten Fragen zu dem NordVPN Hack:
NordVPN kann den Hack bisher nicht bestätigen. Aber die Daten deuten darauf hin, dass zumindest ein altes Sicherheitszertifikat in die Hände eines Dritten gelangt ist. Dies kann auch durch einen Ex-Mitarbeiter erfolgt sein. Es gibt aber keine Anzeichen dafür, dass die Daten von Nutzern jemals einsehbar gewesen sind. Für einen Ex-Mitarbeiter sprechen aber einige Hinweise, und daher ist diese Möglichkeit nicht auszuschließen. Aber selbst aktive Mitarbeiter haben noch keinen Zugriff auf die durch die Nutzer übertragenen Daten.
Eigentlich nicht, das Unternehmen agierte selbst auf eine aus eigener Sicht noch gar nicht belegbaren Vorwurf und stellte sehr rasch auch auf öffentlichen Kanälen den Umfang der Vorwürfe und auch aktuelle Informationen dazu dar. Vorwerfen kann man immer etwas, aber in diesem Fall wurde sicherlich rasch reagiert.
Prinzipiell gibt es bei NordVPN keine Anzeichen dafür, dass ein einzelner Kunde in nur irgendeiner Weise auch nur gefährdet gewesen wäre, oder auf Daten zugegriffen wurde. Der Hacker konnte nur sehen, was ein gewöhnlicher ISP sehen würde. Er konnte nicht mit einem speziellen Nutzer verbunden sein. Außerdem verschlüsselt NordVPN die Festplatte, jedes neuen Servers, den sie bauen.
Es war nur ein einzelner Server betroffen, welcher von einem finnischen Rechenzentrum aus gemietet war. Der Server selbst hat aber keine Benutzeraktivitäten aufgezeichnet, denn bei NordVPN sendet keiner der Anwendungen benutzerdefinierte Informationen der Anmeldung zur Authentifizierung. Passwörter und Benutzernamen sind so nie in Gefahr! NordVPN als gesamtes wurde nicht gehackt.
Die Schuld liegt beim Eigentümer des Rechenzentrums, da ein Fehler gemacht wurde, der NordVPN anfangs nicht bekannt war. Als NordVPN von dem Vorfall erfahren hatte, wurde die Beziehung zu dem Rechenzentrum beendet und der Server geschreddert, am 13. April 2019. Mindestens zwei weitere VPN-Anbieter hat es ebenfalls getroffen, TorGuard und VikingVPN. Selbstverständlich könnten auch noch weitere Kunden des finnischen Rechenzentrums betroffen gewesen sein.
Erstellt am: 22. Oktober 2019
1 Gedanke zu “NordVPN Leak – Wurde NordVPN tatsächlich gehackt?”