NordVPN bị tấn công, nhưng công ty đảm bảo quyền riêng tư của khách hàng không bị vi phạm do chính sách bảo mật của công ty?

NordVPN, một nhà cung cấp VPN hoặc Mạng riêng ảo phổ biến, đã thừa nhận rằng nó đã bị tấn công. Mặc dù bảo mật của công ty đã bị vi phạm nhưng các chính sách quy trình và quản lý dữ liệu của công ty có thể đã đảm bảo quyền riêng tư của khách hàng vẫn được bảo vệ và ẩn danh. Sự thừa nhận của chính NordVPN sau những tin đồn dai dẳng về sự phát triển.

NordVPN là một phần của các nhà cung cấp VPN ngày càng phổ biến. Các nhà cung cấp dịch vụ đang được chấp nhận nhanh chóng trên toàn cầu vì họ tuyên bố cung cấp quyền riêng tư từ Nhà cung cấp dịch vụ Internet (ISP) và truy cập các trang web về lưu lượng duyệt web. Ngoài các nhà báo và nhà hoạt động, ngay cả những người dùng internet thường xuyên cũng đang ngày càng đăng ký dịch vụ VPN để đảm bảo ẩn danh và bảo vệ khỏi các nỗ lực gián điệp và ghi dữ liệu tiềm ẩn từ nhiều cơ quan.

NordVPN bị tấn công, nhưng quyền riêng tư của khách hàng vẫn còn nguyên vẹn?

Về mặt kỹ thuật, VPN phân luồng tất cả lưu lượng truy cập internet của người dùng thông qua một đường ống được mã hóa, khiến bất kỳ ai trên internet khó biết được họ đang truy cập trang web nào hoặc ứng dụng nào đang được sử dụng. Tuy nhiên, nhiều khi, quá trình này chỉ chuyển lịch sử duyệt web từ ISP sang nhà cung cấp dịch vụ VPN.

Theo điều tra nội bộ của NordVPN, kẻ tấn công đã có được quyền truy cập vào máy chủ bằng cách khai thác hệ thống quản lý từ xa không an toàn do một nhà cung cấp trung tâm dữ liệu để lại. Máy chủ đã hoạt động trong khoảng một tháng. Làm rõ về vi phạm bảo mật, người phát ngôn của NordVPN cho biết, “Bản thân máy chủ không chứa bất kỳ nhật ký hoạt động nào của người dùng; không có ứng dụng nào của chúng tôi gửi thông tin xác thực do người dùng tạo để xác thực, vì vậy, tên người dùng và mật khẩu cũng không thể bị chặn. Cũng lưu ý rằng, cách duy nhất có thể để lạm dụng lưu lượng truy cập trang web là thực hiện một cuộc tấn công man-in-the-middle được cá nhân hóa và phức tạp để chặn một kết nối duy nhất đã cố gắng truy cập vào NordVPN ”.

https://twitter.com/NathOnSecurity/status/1186419430256824321

Về cơ bản những gì NordVPN tuyên bố là bảo mật của nó đã bị xâm phạm, nhưng những kẻ tấn công không thể có được thông tin về khách hàng của công ty và dữ liệu của họ thông qua VPN. Rõ ràng, NordVPN đã khóa cá nhân nội bộ đã hết hạn bị lộ, có khả năng cho phép bất kỳ ai tạo ra các máy chủ của riêng họ bắt chước NordVPN. Nhưng công ty đảm bảo rằng điều đó đơn giản là không thể. Người phát ngôn khẳng định: “Khóa riêng đã hết hạn không thể được sử dụng để giải mã lưu lượng VPN trên bất kỳ máy chủ nào khác.

Điều liên quan đến vi phạm bảo mật là dòng thời gian. Theo báo cáo, vi phạm đã xảy ra "vài tháng trước", nhưng nó cố tình không được tiết lộ vì NordVPN, "muốn chắc chắn 100% rằng mỗi thành phần trong cơ sở hạ tầng [của họ] đều được bảo mật."

Các nhà cung cấp dịch vụ VPN khác ngoài NordVPN cũng bị tấn công:

NordVPN tuyên bố họ có chính sách "không ghi nhật ký". Công ty cho biết: “Chúng tôi không theo dõi, thu thập hoặc chia sẻ dữ liệu cá nhân của bạn. Về cơ bản, điều này có nghĩa là mã hóa và truyền dữ liệu là động, và tất cả các dấu vết của luồng dữ liệu về mặt lý thuyết sẽ bị xóa ngay lập tức. Mặc dù điều này nghe có vẻ yên tâm, nhưng một công ty hứa hẹn sẽ “bảo vệ quyền riêng tư của bạn trực tuyến” nên có biện pháp bảo vệ tốt hơn. Thay vào đó, công ty khẳng định, "không ai có thể biết về một hệ thống quản lý từ xa không được tiết lộ do nhà cung cấp [trung tâm dữ liệu] để lại."

Mặc dù vẫn chưa được xác nhận, một số báo cáo trực tuyến cho rằng các nhà cung cấp dịch vụ VPN phổ biến khác, bao gồm TorGuard và VikingVPN, có thể đã bị tấn công và vi phạm bảo mật của họ. Không rõ tại sao các tin tặc lại truy lùng các nhà cung cấp VPN. Tuy nhiên, rất có thể mục đích chính là nhắm đến các nhà cung cấp dịch vụ hơn là theo đuổi khách hàng cá nhân. Các tổ chức lớn có hoạt động kinh doanh chính là cung cấp bảo mật và ẩn danh chắc chắn sẽ là mục tiêu chính cho các nhóm đe dọa dai dẳng vì việc làm tê liệt thành công bảo mật của họ có thể hủy hoại triển vọng kinh doanh.