Vad gör du när du får reda på att företaget du anförtrott din integritet har hackats? Panik? Det kan ha hänt mycket av det när NordVPN erkände ett säkerhetsbrott mot sin server.
Den goda nyheten är att NordVPN är på toppen av det, och det har redan stärkt säkerhetsåtgärderna. Men kommer de att kunna lita på NordVPN igen?
NordVPN säkerhetsöverträdelse
VPN-leverantörer används av många för att tillhandahålla integritet, både från sin internetleverantör och från webbplatser som de besöker. De vill vara säker på att deras surfning på internet hålls privat.
Inledningsvis fanns rykten om att NordVPN hade brutits, och sedan blev det känt att företaget exponerade en utgången intern privatnyckel. Detta kan tillåta vem som helst att använda sina egna servrar för att imitera NordVPN.
NordVPN har alltid hävdat en ”zero logs” -policy, som många VPN-användare gör, åtminstone de goda. NordVPN hävdar, ”Vi spårar, samlar inte in eller delar dina privata data.”
Företaget medgav att ett av dess datacenter nås i mars 2018, med NordVPN-talesman Laura Tyrell erkänner, ”Ett av datacenterna i Finland som vi hyr våra servrar från, nås utan tillstånd.”
Tyrell förklarade vidare att ”användarnamn och lösenord inte kunde ha avlyssnats”, eftersom inget av företagets applikationer ”skickar användarskapade referenser för autentisering.” Den utgångna privata nyckeln kunde inte ha använts för att dekryptera trafiken på någon annan server.
En senior säkerhetsforskare som granskade NordVPN: s uttalande samt andra bevis på överträdelsen som uppenbarades efter intrånget först slog in i nyheterna, ”Även om detta är obekräftat och vi väntar på ytterligare rättsmedicinska bevis, är detta en indikation på en fullständig fjärrkompromiss av leverantörens system . ”
”Det borde vara djupt betänkande för alla som använder eller marknadsför just dessa tjänster.”
För att lugna sina kunder, NordVPN gör ändringar. Teamet av penetrationstestare kommer nu att arbeta med VerSprite-cybersäkerhetsföretaget för omfattande penetrationstest, intrångshantering och källkodsanalys. VerSprite kommer också att hjälpa NordVPN att bilda en oberoende rådgivande kommitté för cybersäkerhet.
Troligtvis för att de inte vill bli generade på det här sättet igen, kommer NordVPN att införa ett bug bounty-program under de kommande veckorna. De lovar också att genomföra en fullständig oberoende säkerhetsrevision i full skala i 2020.
NordVPN planerar nu att använda servrar som de äger, men det kommer fortfarande att finnas i hyrt datacenterutrymme. Företaget har också planer på att ersätta sin infrastruktur med disklösa tjänster, vilket innebär att ingenting kommer att lagras lokalt.
Förlorade NordVPN sitt förtroende?
Den som använder ett VPN har redan integritetshänsyn. Så när de tittar på detta intrång är det med vetskapen att informationen de sökte skydd för inte var så säker som de ville. Att veta att företaget planerar att göra ändringar kanske inte räcker.
Är du en NordVPN-användare? Berör den här nyheten dig? Är du mindre orolig efter att ha läst hur NordVPN kommer att ändra sin verksamhet? Dela dina tankar och bekymmer i kommentarfältet nedan.