Drei populäre VPN-Anbieter gehackt

22. Oktober 2019, 13:12
  • security
  • cyberangriff
image

Hacker drangen in einen Server des beliebten VPN-Anbieters NordVPN ein und stahlen Verschlüsselungscodes, mit denen Entschlüsselungsangriffe auf Teile der Kunden durchgeführt werden konnten.

Hacker drangen in einen Server des beliebten VPN-Anbieters NordVPN ein und stahlen Verschlüsselungscodes, mit denen Entschlüsselungsangriffe auf Teile der Kunden durchgeführt werden konnten. Dies bestätigt das Unternehmen mit Sitz in Panama.
Ein Protokoll des Angriffs deutet laut Fachmedien darauf hin, dass die Hacker Root-Zugriff hatten und entsprechend fast uneingeschränkte Kontrolle über den Server; sie konnten so gut wie alle darauf gespeicherten Daten lesen oder editieren. Einer von drei erbeuteten privaten Schlüsseln wurde offenbar dazu verwendet, ein digitales Zertifikat zu sichern, das die HTTPS-Verschlüsselung für nordvpn.com bereitstellt.
Angreifer hätten das kompromittierte Zertifikat verwenden können, um sich als nordvpn.com-Website auszugeben oder Man-in-the-Middle-Angriffe auf Personen zu starten, die die echte Website besuchen.
Basierend auf den Medienberichten könnten die Hacker zwei weitere private Schlüssel bei NordVPN erbeutet haben, die sensible Informationen betreffen.
NordVPN schreibt auf der Corporate Website, dass man den Vorfall in einem Rechenzentrum in Finnland entdeckt habe. Die Erklärung des Unternehmens wurde jetzt publiziert, da Sicherheitsforscher auf Twitter Vorwürfe erhoben, wonach das VPN gehackt worden sei. Der Hack selbst ist offenbar im März 2018 passiert und wurde nicht publik, da man zuerst interne Untersuchungen habe abschliessen wollen, erwidert der Anbieter.
Laut dem VPN-Anbieter war das Eindringen möglich, weil die Hacker ein unsicheres Remote-Managementsystem ausnutzen konnten. Dieses hätten die Administratoren des Rechenzentrums auf einem von NordVPN gemieteten Server installiert, ohne darüber NordVPN zu informieren.
Gegen diese Schuldzuweisung wehrt sich laut 'Bloomberg' der finnische RZ-Anbieter Creanova Hostings Solutions: "Sie hatten ein Security-Problem, weil sie sich nicht selbst um die Sicherheit kümmern", schrieb der CEO in einer E-Mail. Sein Kunde versuche, die Schuld abzuschieben.
Der VPN-Anbieter will derweil Kunden und Medien beruhigen. In einem Blog-Post sagt die Firma, der gestohlene Encryption-Key sei "abgelaufen" gewesen, aber gab dann gegenüber 'The Hacker News' zu, dass der Schlüssel zum Zeitpunkt des Incidents gültig gewesen war und erst im Oktober 2018, fast sieben Monate danach, abgelaufen war.
Da NordVPN die User-Aktivitäten nicht protokolliert, habe der kompromittierte Server "keine User-Logs enthalten; keine der Anwendungen sendet von Usern erstellte Credentials zur Authentifizierung, so dass auch Benutzernamen/Passwörter nicht abgefangen werden konnten". Des Weiteren schreibt die Firma: "Es ist kein anderer Server in unserem Netzwerk betroffen. Der betroffene Server existiert nicht mehr und der Vertrag mit dem Serveranbieter wurde gekündigt."
Laut einer Sprecherin hat Nord VPN 12 Millionen Benutzer weltweit, sie schätzt, dass nur 50 bis 200 Kunden den einen betroffenen finnischen Server genutzt hätten. "Dies war ein Einzelfall". Der VPN-Anbieter nutzt laut eigenen Angaben 5000 Server rund um die Welt.
Gleichzeitig deuten weitere Berichte darauf hin, dass zwei konkurrierende VPN-Dienste, TorGuard und möglicherweise auch VikingVPN, ebenfalls gehackt wurden. In einer Erklärung sagte TorGuard, dass mindestens ein privater Schlüssel "für ein Sicherheitszertifikat des Transport-Layers für *.torguardvpnaccess.com gestohlen wurde. Der Diebstahl geschah in einem Serverbruch 2017." Allerdings hatte TorGuard laut 'Ars Technica' erst Monate nachher den kompromittierten Server ausser Betrieb genommen. Wozu der Schlüssel diente, gab das Unternehmen nicht preis. Es ist auch unklar, wie lange die Hacker unentdeckt agierten, was sie eigentlich taten und ob sie sich weitergehend Zugriff verschafften oder nicht.
VikingVPN hat bis anhin nicht auf Medienanfragen reagiert.
Neben 'The Hacker News' haben 'Ars Technica' weitere Details zu den Incidents bei allen drei VPN-Anbietern. (mag)

Loading

Mehr zum Thema

image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Deutschland testet Warnsystem Cell Broadcast

Die Schweiz spricht seit einem Jahr davon – passiert ist allerdings noch nichts. Andere EU-Staaten haben das System schon produktiv im Einsatz.

publiziert am 7.12.2022
image

Studie: Cyber-Erpressung dominiert die Bedrohungslandschaft

Laut dem "Security Navigator 2023" sind KMU und die Fertigungsindustrie am häufigsten betroffen.

publiziert am 6.12.2022
image

Spital muss nach Cyber­angriff Patienten verlegen

Ein Cyberangriff stellt den Betrieb in einem französischen Kranken­haus auf den Kopf. Operationen mussten abgesagt werden und es wurde zusätzliches Personal benötigt.

publiziert am 6.12.2022