Los atacantes han tenido acceso a tres claves privadas y a configuraciones de algunos de sus servidores.
La filtración se hizo pública en un hilo de Twitter en el que NordVPN promocionaba sus servicios. En respuesta al ‘tweet’ de la compañía, otro usuario publicaba un enlace a un archivo de texto correspondiente a un fichero de ‘log’ que evidenciaba el robo de información.
El mismo fichero contenía varios ficheros de configuración del software OpenVPN utilizado para proporcionar sus servicios, además de certificados y tres claves privadas.
Dos de las claves RSA correspondían a la configuración de OpenVPN y otra a un certificado ya expirado de tipo ‘wildcard‘ de su dominio.
Aunque las claves filtradas no permiten descifrar el tráfico VPN almacenado y la implementación de ‘forward-secrecy’ en OpenVPN garantiza la seguridad de las claves utilizadas anteriormente, debemos asumir que el atacante tuvo acceso al tráfico durante el ataque. Estas claves además podrían ser utilizadas para realizar ataques ‘man-in-the-middle’.
NordVPN ha confirmado que la brecha se produjo en uno de sus centros de datos en Finlandia en marzo de 2018. El atacante logró explotar una vulnerabilidad en uno de los sistemas de control remoto utilizados por el proveedor y consiguió la información antes expuesta (no se revelaron usuarios ni contraseñas).
El incidente también ha afectado a otros proveedores que utilizaban el mismo centro de datos, como VikingVPN y TorGuard.
En este caso, TorGuard ha sido el único que no se ha visto afectado ya que su clave CA principal estaba almacenada fuera del servidor vulnerado.
NordVPN afirma que es un caso aislado y que ningún otro centro de datos se ha visto afectado.