Porque la red de NordVPN sigue siendo segura despues del acceso no autorizado a un proveedor

Hace unos meses, nos dimos cuenta de que, en marzo de 2018, se accedió sin autorización a uno de los datacenters en Finlandia en el que habíamos alquilado nuestros servidores. El atacante obtuvo acceso al servidor utilizando un sistema de gestión remota inseguro dejado por el proveedor del datacenter. Nosotros no sabíamos de la existencia de dicho sistema. El servidor no contenía ningún registro de actividad del usuario; ninguna de nuestras aplicaciones envía credenciales de autenticación creadas por el usuario, por lo que los nombres de usuario y las contraseñas tampoco podrían haber sido interceptados. El archivo de configuración exacto encontrado en Internet por los investigadores de seguridad dejó de existir el 5 de marzo de 2018. Este fue un caso aislado, y ningún otro proveedor de datacenters que utilizamos ha sido afectado.

Cuando nos hemos enterado del incidente, inmediatamente iniciamos una exhaustiva auditoría interna para verificar toda nuestra infraestructura. Verificamos que ningún otro servidor podría ser explotado de esta manera y hemos creado un proceso para mover todos nuestros servidores a la RAM, que se completará el próximo año. Somos mucho más estrictos con todos los datacenters con los que trabajamos. Ahora, antes de firmar con ellos nos aseguramos de que cumplan con estándares aún más altos.

Cuando nos enteramos de la vulnerabilidad que tenía el datacenter hace unos meses, inmediatamente rescindimos el contrato con el proveedor del servidor y destruimos todos los servidores que les habíamos alquilado. No revelamos el exploit de inmediato porque queríamos asegurarnos de que ninguna de nuestra infraestructura pudiera ser propensa a problemas similares. No lo hemos hecho rápidamente debido a la gran cantidad de servidores y la complejidad de nuestra infraestructura.

La línea de tiempo es la siguiente: el servidor afectado fue construido y agregado a nuestra lista de servidores el 31 de enero de 2018. El datacenter notó la vulnerabilidad que habían dejado y eliminó la cuenta de administración remota, sin notificarnos, el 20 de marzo de 2018. Nuestros técnicos descubrieron que el proveedor del servidor había ocultado la cuenta hace unos meses. Inmediatamente hemos tomamos medidas para auditar toda nuestra red de servidores y aceleramos la encriptación de todos nuestros servidores.

La clave TLS caducada ha sido tomada al mismo tiempo que se explotó el datacenter. Sin embargo, la clave no podría ser utilizada para descifrar el tráfico VPN de ningún otro servidor. En la misma nota, la única forma posible de abusar del tráfico del sitio era realizar un ataque MiTM personalizado y complicado para interceptar una única conexión que intentó acceder a nordvpn.com.

Recapitulando, a principios de 2018, se accedió a un datacenter aislado en Finlandia sin autorización. Eso se hizo mediante la explotación de una vulnerabilidad de uno de nuestros proveedores de servidores que nos lo ha ocultado. No se han interceptado credenciales de usuario. Ningún otro servidor en nuestra red ha sido afectado. El servidor afectado ya no existe y hemos terminado el contrato con el proveedor del servidor.

Aunque sólo 1 de los más de 3000 servidores que teníamos en ese momento fue afectado, no estamos tratando de socavar la gravedad del problema. Fracasamos al contratar un proveedor de servidores poco confiable y deberíamos haberlo hecho mejor para garantizar la seguridad de nuestros clientes. Estamos tomando todos los medios necesarios para mejorar nuestra seguridad. Nos hemos sometido a una auditoría de seguridad en nuestra aplicación, estamos trabajando en una segunda auditoría sin registros en este momento y estamos preparando un programa de recompensa por errores. Haremos todo lo posible para maximizar la seguridad de cada aspecto de nuestro servicio, y el próximo año lanzaremos una auditoría externa independiente de toda nuestra infraestructura para asegurarnos de que no nos falte nada más.

Con este incidente, aprendimos lecciones importantes sobre seguridad, comunicación y marketing.