Drei populäre VPN-Anbieter gehackt

22. Oktober 2019, 13:12
  • security
  • cyberangriff
image

Hacker drangen in einen Server des beliebten VPN-Anbieters NordVPN ein und stahlen Verschlüsselungscodes, mit denen Entschlüsselungsangriffe auf Teile der Kunden durchgeführt werden konnten.

Hacker drangen in einen Server des beliebten VPN-Anbieters NordVPN ein und stahlen Verschlüsselungscodes, mit denen Entschlüsselungsangriffe auf Teile der Kunden durchgeführt werden konnten. Dies bestätigt das Unternehmen mit Sitz in Panama.
Ein Protokoll des Angriffs deutet laut Fachmedien darauf hin, dass die Hacker Root-Zugriff hatten und entsprechend fast uneingeschränkte Kontrolle über den Server; sie konnten so gut wie alle darauf gespeicherten Daten lesen oder editieren. Einer von drei erbeuteten privaten Schlüsseln wurde offenbar dazu verwendet, ein digitales Zertifikat zu sichern, das die HTTPS-Verschlüsselung für nordvpn.com bereitstellt.
Angreifer hätten das kompromittierte Zertifikat verwenden können, um sich als nordvpn.com-Website auszugeben oder Man-in-the-Middle-Angriffe auf Personen zu starten, die die echte Website besuchen.
Basierend auf den Medienberichten könnten die Hacker zwei weitere private Schlüssel bei NordVPN erbeutet haben, die sensible Informationen betreffen.
NordVPN schreibt auf der Corporate Website, dass man den Vorfall in einem Rechenzentrum in Finnland entdeckt habe. Die Erklärung des Unternehmens wurde jetzt publiziert, da Sicherheitsforscher auf Twitter Vorwürfe erhoben, wonach das VPN gehackt worden sei. Der Hack selbst ist offenbar im März 2018 passiert und wurde nicht publik, da man zuerst interne Untersuchungen habe abschliessen wollen, erwidert der Anbieter.
Laut dem VPN-Anbieter war das Eindringen möglich, weil die Hacker ein unsicheres Remote-Managementsystem ausnutzen konnten. Dieses hätten die Administratoren des Rechenzentrums auf einem von NordVPN gemieteten Server installiert, ohne darüber NordVPN zu informieren.
Gegen diese Schuldzuweisung wehrt sich laut 'Bloomberg' der finnische RZ-Anbieter Creanova Hostings Solutions: "Sie hatten ein Security-Problem, weil sie sich nicht selbst um die Sicherheit kümmern", schrieb der CEO in einer E-Mail. Sein Kunde versuche, die Schuld abzuschieben.
Der VPN-Anbieter will derweil Kunden und Medien beruhigen. In einem Blog-Post sagt die Firma, der gestohlene Encryption-Key sei "abgelaufen" gewesen, aber gab dann gegenüber 'The Hacker News' zu, dass der Schlüssel zum Zeitpunkt des Incidents gültig gewesen war und erst im Oktober 2018, fast sieben Monate danach, abgelaufen war.
Da NordVPN die User-Aktivitäten nicht protokolliert, habe der kompromittierte Server "keine User-Logs enthalten; keine der Anwendungen sendet von Usern erstellte Credentials zur Authentifizierung, so dass auch Benutzernamen/Passwörter nicht abgefangen werden konnten". Des Weiteren schreibt die Firma: "Es ist kein anderer Server in unserem Netzwerk betroffen. Der betroffene Server existiert nicht mehr und der Vertrag mit dem Serveranbieter wurde gekündigt."
Laut einer Sprecherin hat Nord VPN 12 Millionen Benutzer weltweit, sie schätzt, dass nur 50 bis 200 Kunden den einen betroffenen finnischen Server genutzt hätten. "Dies war ein Einzelfall". Der VPN-Anbieter nutzt laut eigenen Angaben 5000 Server rund um die Welt.
Gleichzeitig deuten weitere Berichte darauf hin, dass zwei konkurrierende VPN-Dienste, TorGuard und möglicherweise auch VikingVPN, ebenfalls gehackt wurden. In einer Erklärung sagte TorGuard, dass mindestens ein privater Schlüssel "für ein Sicherheitszertifikat des Transport-Layers für *.torguardvpnaccess.com gestohlen wurde. Der Diebstahl geschah in einem Serverbruch 2017." Allerdings hatte TorGuard laut 'Ars Technica' erst Monate nachher den kompromittierten Server ausser Betrieb genommen. Wozu der Schlüssel diente, gab das Unternehmen nicht preis. Es ist auch unklar, wie lange die Hacker unentdeckt agierten, was sie eigentlich taten und ob sie sich weitergehend Zugriff verschafften oder nicht.
VikingVPN hat bis anhin nicht auf Medienanfragen reagiert.
Neben 'The Hacker News' haben 'Ars Technica' weitere Details zu den Incidents bei allen drei VPN-Anbietern. (mag)

Loading

Mehr zum Thema

image

"Die Ransomware-Banden müssen ihre Kriegskassen wieder füllen"

Pascal Lamia, Leiter der operativen Cybersicherheit im Nationalen Security-Zentrum (NCSC), erläutert im Interview die Bedrohungslage in der Schweiz. Und warum er eine Meldepflicht von Hacks für sinnvoll hält.

Von publiziert am 24.5.2022
image

Scharfe Kritik an geplanter Revision der Überwachungsregeln

Die Verordnung VÜPF soll auf 5G-Netze ausgeweitet werden. Firmen wie Threema und Proton befürchten einen Ausbau der Überwachung und die Aufhebung von Verschlüsselungen.

publiziert am 23.5.2022
image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022