Leak: Nord VPN wurde gehackt
(Grafik: NordVPN)
Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von Nord VPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von Nord VPN. Der Anbieter hat sich bisher noch nicht zu dem Vorfall geäußert.
Aufgetaucht ist der Leak in einer Onlinediskussion. In einem inzwischen gelöschten Tweet schrieb Nord VPN: „Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt).“ Als Antwort darauf schickte jemand einen Link auf eine Textdatei, die Belege für einen Hack des VPN-Anbieters enthält.
RSA-Schlüssel zu Webseitenzertifikat geleakt
Es handelt sich offenbar um eine Logdatei der Konsole. Ein Angreifer hatte demnach Zugriff auf einen Server von Nord VPN. Gezeigt werden diverse Konfigurationsdateien der Software Open VPN sowie Zertifikate und drei private RSA-Schlüssel. Zwei der Schlüssel gehören zur Open-VPN-Konfiguration, einer gehört zu einem Webseitenzertifikat.
Dass der Schlüssel tatsächlich zu dem Zertifikat gehört, konnte Golem.de prüfen und bestätigen. Es handelt sich also zumindest bei diesem Teil um keine Fälschung. Das Zertifikat ist ein Wildcard-Zertifikat für die Nord-VPN-Domain, das allerdings nicht mehr aktuell ist. Es ist im Oktober 2018 abgelaufen. Das könnte darauf hindeuten, dass der Hack bereits vor längerer Zeit passiert ist, aber natürlich wäre es auch denkbar, dass der Angreifer den Schlüssel eines veralteten Zertifikats gestohlen hat.
Gespeicherten VPN-Datenverkehr direkt entschlüsseln kann man mit den geleakten Schlüsseln vermutlich nicht. Aus den ebenfalls gezeigten Konfigurationsdateien geht hervor, dass die Open-VPN-Konfiguration einen Schlüsselaustausch mit Diffie-Hellman nutzt, damit haben die Verbindungen die sogenannte Forward-Secrecy-Eigenschaft, die ein nachträgliches Entschlüsseln verhindert. Die Schlüssel könnten aber für einen Man-in-the-Middle-Angriff verwendet werden. Außerdem ist natürlich davon auszugehen, dass der Angreifer während des Hacks in der Lage war, auf Datenverkehr zuzugreifen.
Nord VPN hat sich bisher nur kurz zu dem Vorfall geäußert. Auf dem Twitter-Account von Nord VPN heißt es, dass man darauf warte, dass die Techniker der Firma die Details prüfen. Auf der Webseite fanden wir bisher keinen Hinweis und eine Anfrage von Golem.de blieb bislang unbeantwortet.
Autor des Artikels ist Hanno Böck.
Was soll die Überschrift überhaupt bedeuteten? Hat sich die jmd vor Veröffentlichung noch mal durchgelesen? Ein Anbieter kann hier schwer “leaken”, sehr wohl aber Daten. Ein Anbieter kann auch gehackt werden, dann fehlt aber ein “-“: Zwischenfall bei VPN Anbieter – NordVPN gehackt
Warum wurde der Artikel noch nicht aktualisiert? Ein offizielles Statement wurde von NordVPN schon längst veröffentlicht: https://nordvpn.com/blog/official-response-datacenter-breach/