- “1011” olarak bilinen bir tehdit aktörü, NordVPN geliştirme sunucusunu ihlal ettiğini iddia ediyor
- NordVPN, sızdırılan verilerin üçüncü taraf bir deneme hesabına ait olduğunu belirterek sistemlerinin güvenliğinin ihlal edildiğini reddediyor
- İddia edilen dökümde hiçbir kullanıcı kimlik bilgisi, fatura bilgisi veya tarama günlüğü yer almıyordu
NordVPN, yaygın olarak kabul edilen en iyi VPN Gizlilik bilincine sahip kullanıcılar için piyasada bulunan şirket, dahili Salesforce veritabanının ihlal edildiği yönündeki iddiaları kesin bir şekilde reddetti. Reddetme, bir tehdit aktörünün hassas geliştirme araçlarına eriştiğini iddia ettiği karanlık web forumlarında dolaşan raporlara yanıt olarak geldi.
Olay, “1011” takma adı altında çalışan bir kullanıcının, bir siber suç forumunda yanlış yapılandırılmış bir geliştirme sunucusuna başarıyla kaba kuvvet uyguladığını iddia eden bir paylaşım yapmasıyla başladı.
Aktör, bu erişimin NordVPN’e ait olduğu iddia edilen kaynak kodunu, Jira tokenlarını ve Salesforce API anahtarlarını sızdırmalarına olanak sağladığını iddia etti. Gönderi, izinsiz girişi doğrulamayı amaçlayan örnek SQL dökümlerini ve ekran görüntülerini içeriyordu.
Saldırganın ifadelerine göre ele geçirilen ortam, üretim sistemleri için değil, dahili test ve geliştirme amacıyla kullanıldı, ancak daha geniş erişimi kolaylaştırabilecek veriler içerdiğini öne sürdüler.
İddialar yeraltı forumlarında ve sosyal medyada hızla ilgi gördü ve ihlalin gerçekliği ve potansiyel etkisi hakkında spekülasyonlara yol açtı.
Güvenlik araştırmacıları, meşruiyetlerini belirlemek için paylaşılan materyalleri analiz etmeye başlarken NordVPN, herhangi bir sistemin veya müşteri verilerinin etkilenip etkilenmediğini değerlendirmek için dahili bir soruşturma başlattı.
Ancak NordVPN söylentileri ortadan kaldırmak için hızla harekete geçti. bir blog yazısı İddiaların ortaya çıkmasından kısa bir süre sonra açıklanan şirket, kendi iç Salesforce ortamına dokunulmadığını belirtti.
Bunun yerine NordVPN’in ön araştırması, sızdırılan yapılandırma dosyalarının şirketin kısa süreliğine deneme hesabı için kullandığı üçüncü taraf bir platformla ilgili olduğunu öne sürüyor.
Bir NordVPN sözcüsü açıklamada “Bu iddiaları hemen doğrulamaya başladık” dedi. “Güvenlik ekibimiz ilk adli analizi tamamladı… ve bu aşamada NordVPN sunucularının veya dahili üretim altyapısının tehlikeye girdiğine dair hiçbir işaret olmadığını doğrulayabiliriz.”
Şirket, söz konusu verilerin NordVPN’in çekirdek dahili sistemlerinden kaynaklanmadığını vurguladı. Bu ayrım, hizmetin katı kayıt tutmama politikasının bütünlüğü konusunda endişe duyan kullanıcılar için hayati öneme sahiptir.
Verileriniz güvende mi?
Ortalama bir kullanıcı için çıkarılacak en önemli sonuç, iddia edilen bu olayın internet trafiğinizi taşıyan VPN tünellerini değil, arka uç geliştirme araçlarını içerdiğidir.
Bilgisayar korsanlarının geliştirme sunucusuyla ilgili iddiaları doğru olsa bile kullanıcı kullanıcı adlarına, şifrelerine veya fatura bilgilerine erişildiğini gösteren hiçbir kanıt yok.
Tehdit aktörünün kendi listesinde müşteri veritabanları yerine “dahili Salesforce ve geliştirme verileri” belirtiliyordu. Ayrıca NordVPN’in altyapısı yalnızca RAM (disksiz) olacak şekilde tasarlanmıştır; bu, kullanıcı etkinliği günlüklerinin bir ihlal sırasında silinebilecek sabit disklerde saklanmayacağı anlamına gelir.
İddia edilen sızıntı, e-posta adresleri, şifreler, IP adresleri, günlükler veya finansal veriler de dahil olmak üzere herhangi bir kullanıcının kişisel verisini içermiyordu. raporlar Siber Haber tarafından.
“Yanlış yapılandırılmış bir sunucunun” varlığı, üçüncü taraf bir deneme ortamı olsa bile, siber güvenlik konusunda gereken dikkatin bir hatırlatıcısı olsa da, görünen o ki NordVPN’in üretim ortamı güvenli kalıyor. Şirket, veri dökümünün kapsamına ilişkin “mutlak kesinlik” sağlamak için araştırmasını sürdürdüğünü belirtti.
Her zaman olduğu gibi, bu özel olay bir şifre değişikliği gerektirmiyor gibi görünse de, standart bir güvenlik önlemi olarak kullanıcıların güçlü, benzersiz şifreler kullanmasını ve tüm hassas hesaplarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmesini öneriyoruz.
Bu uygulamalar, ilgisiz ihlaller veya kimlik avı girişimleri yoluyla kimlik bilgilerinin güvenliği ihlal edilse bile yetkisiz erişim riskini önemli ölçüde azaltır.
Kullanıcılar ayrıca olağandışı hesap etkinliklerine karşı dikkatli olmalı, parolaları birden fazla platformda yeniden kullanmaktan kaçınmalı ve karmaşık parolaları güvenli bir şekilde depolamak ve oluşturmak için saygın bir parola yöneticisi kullanmayı düşünmelidir. Bu alışkanlıkları sürdürmek, kişisel ve kurumsal verileri korumanın en etkili yollarından biridir.