NordVPN发布文章-详细介绍安全事件

本周早些时候，Twitter上的一名安全研究人员透露，“NordVPN在某个时候遭到了破坏”，声称未知攻击者窃取了用于保护VPN用户通过受损服务器的流量的私有加密密钥。

作为回应，NordVPN发布了一篇博客文章，详细介绍了安全事件，我们在这里总结了整个事件，以供读者快速了解到底发生了什么，有什么利害关系，以及下一步应该做什么。

下面提到的一些信息还包含黑客新闻通过NordVPN电子邮件采访获得的信息。

What has been compromised? — NordVPN has thousands of servers across the world hosted with third-party data centers. One such server hosted with a Finland-based datacenter was unauthorizedly accessed on March 2018.

How did it happen? —该公司透露，一名未知攻击者通过利用“数据中心提供商留下的不安全远程管理系统，而我们（该公司）不知道该系统的存在”，获得了对该服务器的访问权

什么东西被偷了？ —由于NordVPN不记录用户的活动，受损服务器“不包含任何用户活动日志；没有任何应用程序发送用户创建的凭据进行身份验证，因此用户名/密码也不可能被拦截。”

然而，该公司确认，攻击者成功窃取了三个TLS加密密钥，负责保护通过受损服务器路由的VPN用户流量。
尽管NordVPN试图在其博客文章中淡化安全事件，称被盗的加密密钥为“过期”，但当黑客新闻接近该公司时，它确实承认，这些密钥在入侵时是有效的，并于2018年10月，即入侵发生近7个月后过期。

What might attackers have achieved? —如今，几乎每个网站都使用HTTPS来保护其用户的网络流量，VPN基本上只是在现有网络流量的基础上增加了一层额外的身份验证和加密，通过隧道将其通过大量服务器（出口节点），甚至限制了您的ISP监控您的在线活动。

现在有了一些有限的加密密钥，攻击者可能只解密了覆盖在通过受损服务器的流量上的额外保护层，但不能滥用该层来解密或破坏用户的HTTPS加密流量。

NordVPN发言人告诉《黑客新闻》：“即使黑客可以在连接到服务器时查看流量，他也只能看到普通ISP会看到的内容，但绝不可能是个性化的或链接到特定用户。如果他们不通过该服务器进行访问，他们将使用MiTM进行访问。”。

“同样，滥用网站流量的唯一可能方式是执行个性化且复杂的MiTM攻击，拦截试图访问nordvpn.com的单一连接，”该公司在其博客文章中说。

换句话说，该攻击可能只允许攻击者捕获用户与非HTTPS网站（如果有）交换的未加密数据，或对某些用户进行DNS查找，并且还破坏了使用VPN服务的目的。

“我们严格没有日志，所以我们不知道到底有多少用户使用过这台服务器，”NordVPN说。但是，根据服务器负载评估，此服务器大约有50-200个活动会话

需要指出的是，“这些（被盗的加密）密钥不可能被用于解密任何其他（NordVPN）服务器的VPN流量，”该公司证实。

How NordVPN addressed the security breach? —在几个月前发现这起事件后，该公司“立即终止了与服务器提供商的合同”，并销毁了NordVPN从他们那里租用的所有服务器。

NordVPN还立即对其服务器进行了彻底的内部审计，以检查其整个基础设施，并再次检查“不可能以这种方式利用其他服务器”

该公司表示，明年还将“对我们所有的基础设施进行独立的外部审计，以确保我们没有遗漏任何其他内容。”

该公司还承认，通过与一家不可靠的服务器供应商签订合同，它“未能”确保客户的安全，并且“正在采取一切必要的手段来增强我们的安全性”

Should NordVPN users be worried? —不多人们使用VPN的原因多种多样，老实说，如果你使用VPN是为了隐私或逃避互联网审查，你不应该在此类事件发生后停止使用VPN。

然而，在选择一项服务之前，人们总是建议你做一些研究，并为你认为值得信赖的服务付费。