NordVPN: Angreifer erbeuten Schlüssel zu Webseitenzertifikat

Update 3 21.10.2019 18:01 Uhr

Bild: NordVPN

Wie NordVPN nun bestätigte, wurde der VPN-Anbieter gehackt. Wie das amerikanische Nachrichtenportal TechCrunch berichtet, erbeutete ein Angreifer drei RSA-Schlüssel zu Webseitenzertifikaten und hatte demnach Zugriff auf den Server von NordVPN. Das Unternehmen selbst meldete sich per Twitter zu Wort und kündigte ein Statement an.

Während einer mittlerweile gelöschten Diskussion zum Thema Datensicherheit auf Twitter, meldete sich NordVPN mit der Aussage „Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)“ zu Wort, was wiederum einen anderen Teilnehmer der Diskussion dazu veranlasste ein Dokument zu veröffentlichen, aus dem hervorgeht, dass sich NordVPN besser selbst einmal nähere Gedanken um die Datensicherheit seiner Server und Kunden machen sollte. Die Textdatei liefert Belege für einen Hack des VPN-Anbieters in der Vergangenheit.

Drei RSA-Schlüssel zu Webseitenzertifikaten gestohlen

Der Logdatei ist zu entnehmen, dass ein Angreifer offenbar Zugriff auf den Server von NordVPN hatte und insgesamt drei private RSA-Schlüssel zu Webseitenzertifikaten stehlen konnte. Außerdem finden sich in dem Dokument diverse Konfigurationsdateien von OpenVPN sowie Zertifikate. Zwei der RSA-Schlüssel stehen im Zusammenhang mit der OpenVPN-Konfiguration, einer passt zu einem Webseitenzertifikat. Bei dem Zertifikat handelt es sich allerdings um ein sogenanntes Wildcard-Zertifikat, welches bereits im Oktober 2018 abgelaufen ist.

Ob der Angreifer bereits vor einem Jahr im Besitz des Schlüssels für das Zertifikat der NordVPN-Domain gewesen ist, oder ob er einen RSA-Schlüssel für ein bereits abgelaufenes Zertifikat gestohlen hat, kann zum jetzigen Zeitpunk noch nicht gesagt werden. NordVPN selbst möchte erst nach vollumfänglicher Klärung des Sachverhaltes eine Stellungnahme abgeben. Aktuell prüfen die Techniker des VPN-Anbieters den Vorfall, so das Unternehmen via Twitter.

3/3 We removed it because the text lacked editorial oversight. For all the messages regarding the expired TLS certificate, we are waiting for our techs to provide all the details. Once done - we will definitely publish a public statement.
— NordVPN (@NordVPN) October 20, 2019

Es ist allerdings davon auszugehen, dass der verschlüsselte VPN-Datenverkehr über die Server von NordVPN mit den nun veröffentlichten RSA-Schlüsseln und Zertifikaten von Angreifern nicht entschlüsselt werden kann.

Noch unbestätigt sind die Hinweise, dass auch andere VPN-Anbieter wie TorGuard und VikingVPN im gleichen Zeitraum kompromittiert wurden.

Apparently other VPN providers were also compromised: https://t.co/RoDRLQlYUK
— undefined (@hexdefined) October 21, 2019

Update 21.10.2019 20:13 Uhr

Offizielle Stellungnahme von NordVPN

Mittlerweile hat sich NordVPN im Bezug auf den Zwischenfall mit einer offiziellen Stellungnahme zu Wort gemeldet. In der Person von Daniel Markuson, äußerte sich das Unternehmen zu dem „third-party provider breach“, wie NordVPN das Auftauchen von RSA-Schlüsseln und Zertifikaten zur eigenen Domain bezeichnet.

Laut NordVPN ist das eigene Netzwerk sicher

Mit den Worten „Why the NordVPN network is safe after a third-party provider breach“ beginnt der VPN-Anbieter seine Stellungnahme. Laut NordVPN sei das eigene Netzwerk absolut sicher, der Angriff wäre vielmehr auf einen Fehler des Betreibers eines Datencenters in Finnland zurückzuführen, bei dem NordVPN zu diesem Zeitpunkt selbst Kunde gewesen ist. Der VPN-Anbieter selber hätte überhaupt nicht gewusst, dass ein solches System im Einsatz sei, so NordVPN weiter.

We became aware that on March 2018, one of the datacenters in Finland we had been renting our servers from was accessed with no authorization. The attacker gained access to the server by exploiting an insecure remote management system left by the datacenter provider while we were unaware that such a system existed.
Daniel Markuson, NordVPN

Durch diesen Vorfall habe das Unternehmen wichtige Lektionen in Bezug auf Sicherheit, Kommunikation und Marketing gelernt und werde im nächsten Jahr eine unabhängige externe Prüfung seiner gesamten Infrastruktur durchführen, um sicherzustellen, dass man nicht noch weitere Schwachstellen übersehen hat. Weshalb das Unternehmen so lange warten möchte, bleibt indes unklar.

We will give our all to maximize the security of every aspect of our service, and next year we will launch an independent external audit all of our infrastructure to make sure we did not miss anything else. With this incident, we learned important lessons about security, communication, and marketing.
Daniel Markuson, NordVPN

Auch Laura Tyrell, Head of Public Relations bei NordVPN hat sich gegenüber ComputerBase direkt per E-Mail geäußert und möchte klarstellen, dass die Server von NordVPN nicht gehackt wurden.

„I would like to stress out that our service has not been hacked.“, so Tyrell gegenüber ComputerBase. „None of the information available on the one server can be used to impersonate or decrypt the traffic of any other. This was an isolated case of one data-center in Finland.“, so die PR-Managerin weiter. Abschließend sagte Sie, „It did not impact thousands of other servers in any way, it is virtually impossible to do that. “

Official response regarding the breach of one of our datacenters.
— NordVPN (@NordVPN) October 21, 2019

Update 22.10.2019 14:06 Uhr

Auch VikingVPN und TorGuard von Hack betroffen

Wie unter anderem Golem und Heise berichten, sind auch die VPN-Anbieter VikingVPN und TorGuard von einem Hack betroffen.

Auch in diesem Fall soll der Angreifer private kryptographische Schlüssel erbeutet haben, die zu Webseitenzertifikaten der beiden VPN-Dienstleister passen. Dies geht aus einer Logdatei hervor, die ein anonymer Diskussionsteilnehmer über das rechtsextreme Imageboard 8chan veröffentlicht hatte. Die entsprechende Seite und das Dokument lassen sich nach wie vor über das Archiv von Wayback Machine abrufen.

Warum keiner der drei VPN-Anbieter reagierte, obwohl die RSA-Schlüssel und Webseitenzertifikate in einem öffentlichen Forum geteilt wurden, ist zum jetzigen Zeitpunkt noch nicht geklärt.

Weder VikingVPN noch TorGuard haben sich bisher zu dem Vorfall geäußert.

Die Redaktion dankt Community-Mitglied „konkretor“ für den Hinweis zu diesem Update.

Update 22.10.2019 14:57 Uhr

Auch TorGuard mit offzieller Stellungnahme

Mittlerweile hat auch der VPN- und Proxy-Anbieter TorGuard eine offzielle Stellungnahme zu den Vorfällen im eigenen Blog abgegeben.

In einem Statement unter dem Titel „Why TorGuard's Network is Secure after an 2017 Server Breach“ versichert TorGuard, dass seine VPN-Server und sein VPN-Netzwerk sicher sei und keine privaten Schlüssel kopiert worden seien.

TorGuard VPN or proxy traffic was not compromised during this isolated breach of a single VPN server and no sensitive information was compromised during this incident. Even though no security risk past or present was found, TorGuard has reissued all certs earlier this year per our security protocol.
TorGuard

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik