Что вы будете делать, если узнаете, что компания, которой вы доверили конфиденциальность, была взломана? Паника? Возможно, многое из этого произошло, когда NordVPN признался в нарушении безопасности своего сервера.
Хорошей новостью является то, что NordVPN находится на высоте и уже усилил меры безопасности. Но смогут ли они снова доверять NordVPN?
Нарушение безопасности NordVPN
Многие используют VPN-провайдеров для обеспечения конфиденциальности как своего интернет-провайдера, так и сайтов, которые они посещают. Они хотят быть уверены, что их просмотр в Интернете остается конфиденциальным.
Сначала ходили слухи о том, что NordVPN был взломан, а затем стало известно, что компания обнаружила внутренний закрытый ключ с истекшим сроком действия. Это может позволить любому использовать свои собственные серверы для имитации NordVPN.
NordVPN всегда придерживался политики «нулевых журналов», как и многие VPN, по крайней мере хорошие. NordVPN заявляет: «Мы не отслеживаем, не собираем и не передаем ваши личные данные».
Компания признала, что в марте 2018 года был осуществлен доступ к одному из ее центров обработки данных, а представитель NordVPN Лаура Тирелл призналась: «К одному из центров обработки данных в Финляндии, у которого мы арендуем наши серверы, был получен доступ без авторизации».
Тайрелл далее пояснил, что «имена пользователей и пароли не могли быть перехвачены», поскольку ни одно из приложений компании «не отправляет созданные пользователем учетные данные для аутентификации». Закрытый ключ с истекшим сроком действия нельзя было использовать для расшифровки трафика на любом другом сервере.
Старший исследователь безопасности, который изучил заявление NordVPN, а также другие доказательства взлома, после того, как нарушение впервые появилось в новостях, высказал мнение: «Хотя это не подтверждено и мы ждем дополнительных доказательств, это является признаком полного удаленного взлома системы этого провайдера».
«Это должно глубоко обеспокоить всех, кто использует или продвигает эти конкретные услуги».
Чтобы успокоить своих клиентов, NordVPN вносит изменения. Его команда тестеров на проникновение теперь будет работать с фирмой по кибербезопасности VerSprite над комплексным тестированием на проникновение, обработкой вторжений и анализом исходного кода. VerSprite также поможет NordVPN сформировать независимый консультативный комитет по кибербезопасности.
Скорее всего, потому, что они не хотят снова позориться, NordVPN собирается ввести программу вознаграждения за ошибки в ближайшие недели. Они также обещают провести полный полномасштабный сторонний независимый аудит безопасности в 2020 году.
NordVPN теперь планирует использовать собственные серверы, хотя они по-прежнему будут находиться в арендованном пространстве центра обработки данных. Компания также планирует заменить свою инфраструктуру бездисковыми сервисами, то есть ничего не будет храниться локально.
Потерял ли NordVPN доверие?
У любого, кто использует VPN, уже есть проблемы с конфиденциальностью. Поэтому, когда они смотрят на это нарушение, они осознают, что информация, защиту которой они искали, была не настолько безопасной, как им хотелось. Знания о том, что компания планирует внести изменения, может быть недостаточно.
Вы являетесь пользователем NordVPN? Вас беспокоит эта новость? Вы стали менее обеспокоены после прочтения того, как NordVPN изменит свою работу? Поделитесь своими мыслями и опасениями в разделе комментариев ниже.