Hacker drangen in einen Server des beliebten VPN-Anbieters NordVPN ein und stahlen Verschlüsselungscodes, mit denen Entschlüsselungsangriffe auf Teile der Kunden durchgeführt werden konnten. Dies bestätigt das Unternehmen mit Sitz in Panama.

Ein Protokoll des Angriffs deutet laut Fachmedien darauf hin, dass die Hacker Root-Zugriff hatten und entsprechend fast uneingeschränkte Kontrolle über den Server; sie konnten so gut wie alle darauf gespeicherten Daten lesen oder editieren. Einer von drei erbeuteten privaten Schlüsseln wurde offenbar dazu verwendet, ein digitales Zertifikat zu sichern, das die HTTPS-Verschlüsselung für nordvpn.com bereitstellt.

Angreifer hätten das kompromittierte Zertifikat verwenden können, um sich als nordvpn.com-Website auszugeben oder Man-in-the-Middle-Angriffe auf Personen zu starten, die die echte Website besuchen.

Basierend auf den Medienberichten könnten die Hacker zwei weitere private Schlüssel bei NordVPN erbeutet haben, die sensible Informationen betreffen.

NordVPN schreibt auf der Corporate Website, dass man den Vorfall in einem Rechenzentrum in Finnland entdeckt habe. Die Erklärung des Unternehmens wurde jetzt publiziert, da Sicherheitsforscher auf Twitter Vorwürfe erhoben, wonach das VPN gehackt worden sei. Der Hack selbst ist offenbar im März 2018 passiert und wurde nicht publik, da man zuerst interne Untersuchungen habe abschliessen wollen, erwidert der Anbieter.

Laut dem VPN-Anbieter war das Eindringen möglich, weil die Hacker ein unsicheres Remote-Managementsystem ausnutzen konnten. Dieses hätten die Administratoren des Rechenzentrums auf einem von NordVPN gemieteten Server installiert, ohne darüber NordVPN zu informieren.

Gegen diese Schuldzuweisung wehrt sich laut 'Bloomberg' der finnische RZ-Anbieter Creanova Hostings Solutions: "Sie hatten ein Security-Problem, weil sie sich nicht selbst um die Sicherheit kümmern", schrieb der CEO in einer E-Mail. Sein Kunde versuche, die Schuld abzuschieben.

Der VPN-Anbieter will derweil Kunden und Medien beruhigen. In einem Blog-Post sagt die Firma, der gestohlene Encryption-Key sei "abgelaufen" gewesen, aber gab dann gegenüber 'The Hacker News' zu, dass der Schlüssel zum Zeitpunkt des Incidents gültig gewesen war und erst im Oktober 2018, fast sieben Monate danach, abgelaufen war.

Da NordVPN die User-Aktivitäten nicht protokolliert, habe der kompromittierte Server "keine User-Logs enthalten; keine der Anwendungen sendet von Usern erstellte Credentials zur Authentifizierung, so dass auch Benutzernamen/Passwörter nicht abgefangen werden konnten". Des Weiteren schreibt die Firma: "Es ist kein anderer Server in unserem Netzwerk betroffen. Der betroffene Server existiert nicht mehr und der Vertrag mit dem Serveranbieter wurde gekündigt."

Laut einer Sprecherin hat Nord VPN 12 Millionen Benutzer weltweit, sie schätzt, dass nur 50 bis 200 Kunden den einen betroffenen finnischen Server genutzt hätten. "Dies war ein Einzelfall". Der VPN-Anbieter nutzt laut eigenen Angaben 5000 Server rund um die Welt.

Gleichzeitig deuten weitere Berichte darauf hin, dass zwei konkurrierende VPN-Dienste, TorGuard und möglicherweise auch VikingVPN, ebenfalls gehackt wurden. In einer Erklärung sagte TorGuard, dass mindestens ein privater Schlüssel "für ein Sicherheitszertifikat des Transport-Layers für *.torguardvpnaccess.com gestohlen wurde. Der Diebstahl geschah in einem Serverbruch 2017." Allerdings hatte TorGuard laut 'Ars Technica' erst Monate nachher den kompromittierten Server ausser Betrieb genommen. Wozu der Schlüssel diente, gab das Unternehmen nicht preis. Es ist auch unklar, wie lange die Hacker unentdeckt agierten, was sie eigentlich taten und ob sie sich weitergehend Zugriff verschafften oder nicht.

VikingVPN hat bis anhin nicht auf Medienanfragen reagiert.

Neben 'The Hacker News' haben 'Ars Technica' weitere Details zu den Incidents bei allen drei VPN-Anbietern. (mag)