Foxload Web & Apps

Aufregung im Hause NordVPN: Anscheinend wurde der VPN-Anbieter, der sich bei auf Anonymität bedachten Internetusern größter Beliebtheit erfreut, in jüngster Zeit einer Hacking-Attacke. Die Angreifer erlangten somit Zugriff auf Server und sogar private Schlüssel des Internetgiganten. Drei der entwendeten Schlüssel tauchten später im Netz wieder auf - einer davon gehört zu einem mittlerweile abgelaufenen HTTPS-Zertifikat.

Leak erschüttert die Internetcommunity

Vor kurzer Zeit sind mehrere kryptographische Schlüssel und Konfigurationsdateien des VPN-Riesen aufgetaucht. Einer der Schlüssel passt zu einem früher von NordVPN verwendeten Web-Zertifikat.

Erstmals entdeckt wurden die geleakten Dateien, als ein Twitter-User als Antwort auf die Aussage des Unternehmens "Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)." ein Textdokument mit eindeutigen Beweisen für ein Eindringen in die interne Struktur des Anbieters postete.

Bei dieser Datei handelt es sich um eine Logdatei der Konsole, was beweist, dass der Angreifer Zugriff auf die NordVPN-Server hatte. Er erbeutete Konfigurationsdateien für die Software OpenVPN, Zertifikate und drei private RSA-Schlüssel. Davon gehörten zwei zur OpenVPN-Konfiguration und einer zu einem Webseitenzertifikat.

Bei letzterem Schlüssel handelt es sich bestätigtermaßen um einen Schlüssel für Wildcard-Zertifikat für die Domain des VPN-Anbieters, welches aber nicht mehr aktuell ist. Schon im Oktober 2018 lief es ab - das könnte darauf hindeuten, dass der Hack schon vor längerer Zeit stattgefunden hat. Es besteht allerdings auch die Möglichkeit, dass der Hacker einen veralteten Schlüssel entwendet hat.

Was sind die Konsequenzen?

Eine gute Nachricht zuerst: Es ist äußerst unwahrscheinlich, dass gespeicherter VPN-Verkehr entschlüsselt werden kann. Die Analyse der geleakten Dateien zeigt, dass OpenVPN in dieser Konfiguration einen Schlüsselaustausch mit Diffie-Hellman benutzt und somit die sogenannte Forward-Secrecy-Eigenschaft besitzt - ein nachträgliches Entschlüsseln wird verhindert. Nichtsdestotrotz könnten die Schlüssel für einen Man-in-the-Middle-Angriff genutzt werden und es kann davon ausgegangen werden, dass der Angreifer während der Attacke Zugriff auf aktuellen Datenverkehr hatte.

Das betroffene Unternehmen NordVPN hält sich bedeckt. Ein kurzes Statement wurde auf dem offiziellen Twitter-Account veröffentlicht, in dem bekannt gegeben wurde, dass man auf eine Prüfung der Details durch die firmeneigenen Techniker warte. Auf der offiziellen Hinweise findet der Zwischenfall keine Erwähnung und auch auf Anfragen der Medien antwortete das Unternehmen zunächst nicht.

Update

Seitens NordVPN gibt es nun eine ausführliche Stellungnahme, aus welcher hervorgeht, dass keine Benutzeranmeldeinformationen betroffen waren.

Ein Server war im März 2018 in Finnland betroffen. Der Rest unseres Services war nicht betroffen. Es wurden keine anderen Server jeglicher Art gefährdet. Dies war ein Angriff auf unseren Server, nicht auf unseren gesamten Service.

Der Verstoß wurde durch eine schlechte Konfiguration seitens eines Rechenzentrums eines Drittanbieters ermöglicht, über die wir nie informiert wurden. Es gibt Hinweise darauf, dass das Rechenzentrum, als es von dem Einbruch erfuhr, die Konten gelöscht hat, die die Schwachstellen verursacht hatten, anstatt uns über ihren Fehler zu informieren. Sobald wir von der Verletzung erfahren haben, wurden der Server und unser Vertrag mit dem Provider gekündigt und wir begannen mit einer umfangreichen Überprüfung unseres Dienstes.

Es waren keine Benutzeranmeldeinformationen betroffen.

Es gibt keine Anzeichen dafür, dass der Eindringling versucht hat, den Benutzerverkehr in irgendeiner Weise zu überwachen. Selbst wenn dies der Fall wäre, hätten sie keinen Zugriff auf die Anmeldeinformationen dieser Benutzer gehabt.

Somit sollte das NordVPN-Netzwerk auch nach dem Vorfall weiterhin sicher sein.