NordVPN bị xâm phạm bảo mật và những điều bạn cần biết!

NordVPN, một trong những dịch vụ VPN phổ biến và được sử dụng rộng rãi nhất hiện nay, đã tiết lộ chi tiết về một sự cố bảo mật dường như đã làm tổn hại một trong số hàng ngàn máy chủ được đặt tại Phần Lan.

NordVPN bị xâm phạm bảo mật và những điều bạn cần biết! - CyberSec365.org

Đầu tuần này, một nhà nghiên cứu bảo mật trên Twitter đã tiết lộ rằng "NordVPN đã bị xâm phạm bảo mật tại một số điểm". trong bài viết của mình, ông cho rằng những kẻ tấn công chưa được xác định đã đánh cắp các khóa mã hóa riêng được sử dụng để mã hóa lưu lượng truy cập của người dùng VPN khi qua máy chủ bị xâm nhập.

Để phản hồi về vấn đề này, NordVPN đã xuất bản một bài đăng trên blog chi tiết về sự cố bảo mật và ở đây chúng tôi đã tóm tắt toàn bộ sự cố cho độc giả của chúng tôi để bạn nhanh chóng hiểu chính xác những gì đã xảy ra, những gì đang bị đe dọa và những gì bạn nên làm tiếp theo.

• Điều gì đã bị xâm phạm? - NordVPN có hàng ngàn máy chủ trên toàn thế giới và được đặt tại các trung tâm dữ liệu của bên thứ ba. Một máy chủ trong số đó được lưu trữ với trung tâm dữ liệu có trụ sở ở Phần Lan đã bị truy cập trái phép vào tháng 3 năm 2018.
• Chuyện đã xảy ra như thế nào? - Công ty tiết lộ rằng một kẻ tấn công chưa xác định đã có quyền truy cập vào máy chủ đó bằng cách khai thác "một hệ thống quản lý từ xa không an toàn do nhà cung cấp trung tâm dữ liệu để lại trong khi chúng tôi (công ty) không biết rằng hệ thống đó tồn tại."
• Những gì đã bị đánh cắp? - Do NordVPN không ghi nhật ký hoạt động của người dùng, nên máy chủ bị xâm nhập "không chứa bất kỳ nhật ký hoạt động người dùng nào; không có ứng dụng nào gửi thông tin xác thực do người dùng tạo để xác thực, vì vậy tên người dùng/mật khẩu cũng không thể bị đánh cắp."

Tuy nhiên, công ty đã xác nhận rằng những kẻ tấn công đã đánh cắp thành công ba khóa mã hóa TLS có nhiệm vụ  mã hóa và bảo vệ lưu lượng truy cập của người dùng VPN khi chúng được chuyển qua máy chủ bị xâm nhập.

NordVPN bị xâm phạm bảo mật và những điều bạn cần biết! - CyberSec365.org

Mặc dù NordVPN đã cố gắng giảm bớt tính nghiêm trọng của sự cố bảo mật trong bài đăng trên blog của mình bằng cách trích dẫn các khóa mã hóa bị đánh cắp là "hết hạn". Tuy nhiên, tiếp cận công ty, họ đã thừa nhận rằng các khóa này có hiệu lực tại thời điểm vi phạm và hết hạn vào tháng 10 năm 2018, gần 7 tháng sau khi vụ vi phạm diễn ra.

• Những kẻ tấn công có thể lấyđược những gì? - Hầu như mọi trang web ngày nay đều sử dụng HTTPS để bảo vệ lưu lượng mạng của người dùng. Do đó, VPN về cơ bản chỉ tạo thêm một lớp xác thực và mã hóa bổ sung cho lưu lượng mạng hiện tại của người dùng bằng cách tạo ra một tunnel thông qua các máy chủ (exit nodes) nhằm hạn chế các ISP giám sát các hoạt động trực tuyến của người dùng.

Bây giờ với một số khóa mã hóa hạn chế trong tay, những kẻ tấn công có thể chỉ giải mã được lớp bảo vệ bổ sung được phủ lên lưu lượng được truyền qua máy chủ bị xâm nhập, tuy nhiên, không thể bị lạm dụng để giải mã hoặc làm tổn hại lưu lượng được mã hóa HTTPS của người dùng.

Do đó, với các khóa mã hóa hạn chế trong tay, những kẻ tấn công có thể chỉ giải mã được lớp bảo vệ bổ sung được phủ lên lưu lượng được truyền qua máy chủ bị xâm nhập, tuy nhiên, không thể bị lạm dụng để giải mã hoặc làm tổn hại lưu lượng được mã hóa HTTPS của người dùng.

Theo người phát ngôn của NordVPN, "ngay cả khi tin tặc có thể xem được lưu lượng truy cập tức thời của người dùng, hắn ta cũng chỉ có thể thấy được những thông tin mà một ISP thông thường có thể nhìn thấy. Hoàn toàn không có một cách nào tin tặc có thể liên kết những thông tin này đến một người dùng cụ thể nào ngoại trừ sử dụng phương thức tấn công Man-in-the-Middle (MiTM).

Nói cách khác, cuộc tấn công có thể cho phép kẻ tấn công thu thập dữ liệu không được mã hóa của người dùng khi họ truy cập các trang web không sử dụng HTTPS.

"Chúng tôi hoàn toàn không có logs, vì vậy chúng tôi không biết chính xác có bao nhiêu người dùng đã sử dụng máy chủ này", NordVPN nói. "Tuy nhiên, bằng cách đánh giá tải trọng của máy chủ, máy chủ này đã có khoảng 50-200 active sessions."

Cần lưu ý, "các khóa (mã hóa bị đánh cắp) không thể được sử dụng để giải mã lưu lượng VPN của bất kỳ máy chủ (NordVPN) nào khác", công ty xác nhận.

• Làm thế nào NordVPN giải quyết vi phạm bảo mật này? - Sau khi phát hiện ra sự cố vài tháng trước, công ty "ngay lập tức chấm dứt hợp đồng với nhà cung cấp máy chủ" và hủy tất cả các máy chủ mà NordVPN đã thuê từ họ.

NordVPN cũng ngay lập tức tiến hành kiểm toán nội bộ kỹ lưỡng các máy chủ của mình để kiểm tra toàn bộ cơ sở hạ tầng và kiểm tra kỹ rằng "không có bất kỳ máy chủ nào khác có thể được khai thác theo cách này".

Công ty cho biết vào năm tới, họ cũng sẽ "khởi động một cuộc kiểm toán độc lập từ bên ngoài vào tất cả các cơ sở hạ tầng của chúng tôi để đảm bảo chúng tôi không bỏ lỡ bất cứ điều gì khác."

Công ty cũng thừa nhận rằng họ "thất bại" trong việc đảm bảo an ninh cho khách hàng của mình bằng cách ký hợp đồng với một nhà cung cấp máy chủ không đáng tin cậy và đó là "dùng tất cả các phương tiện cần thiết để tăng cường bảo mật của chúng tôi".

Người dùng NordVPN có nên lo lắng? - Không nhiều. Mọi người sử dụng VPN vì nhiều lý do và thành thật mà nói, nếu bạn sử dụng nó để bảo mật hoặc thoát khỏi sự kiểm duyệt Internet, bạn không nên ngừng sử dụng VPN sau những sự kiện như vậy.

Tuy nhiên, trước khi chọn một dịch vụ, bạn luôn được khuyên nên thực hiện một số nghiên cứu và trả tiền cho một dịch vụ mà bạn cảm thấy đáng tin cậy.

TorGuard và VikingVPN cũng bị xâm phạm

Có vẻ như NordVPN không đơn độc. Các dịch vụ VPN phổ biến khác, bao gồm TorGuard và VikingVPN, cũng gặp sự cố bảo mật tương tự vào cùng thời điểm này trong năm.

Trong bài đăng trên blog được công bố hôm thứ Hai, TorGuard đã xác nhận rằng một "máy chủ TorGuard" đã bị xâm nhập và xóa khỏi mạng vào đầu năm 2018 và từ đó đã "chấm dứt tất cả hoạt động kinh doanh với đại lý lưu trữ liên quan vì liên tục hoạt động đáng ngờ".

Vì TorGuard đã nộp đơn khiếu nại pháp lý chống lại NordVPN vào ngày 27 tháng 6 năm 2019, có thể đổ lỗi cho việc vi phạm, công ty đã từ chối cung cấp chi tiết về đại lý lưu trữ cụ thể hoặc cách kẻ tấn công có được quyền truy cập trái phép.

Tuy nhiên, TorGuard đã nói rõ rằng "máy chủ của nó không bị xâm phạm từ bên ngoài và không bao giờ có mối đe dọa đối với các máy chủ hoặc người dùng TorGuard khác."

Đại Phát (Theo THN)