Les données en question ne proviennent pas de l'environnement Salesforce interne de NordVPN ni d'aucun autre service mentionné dans la plainte. Notre enquête a révélé que les fichiers de configuration divulgués étaient liés à une plateforme tierce, avec laquelle nous avons brièvement eu un compte d'essai.
Ce qui s'est réellement passé : il y a six mois, NordVPN a évalué un fournisseur potentiel pour des tests automatisés. Dans le cadre d'une phase standard de validation de concept (Proof of concept), un environnement de test temporaire a été créé pour évaluer ses fonctionnalités.
- Aucune donnée sensible : étant donné qu'il s'agissait d'un test préliminaire et qu'aucun contrat n'a jamais été signé, aucune donnée client réelle, aucun code source de production ni aucune information d'identification sensible active n'ont jamais été téléchargés dans cet environnement.
- Fournisseur non sélectionné : nous avons finalement choisi un autre fournisseur et n'avons pas donné suite à celui que nous avions testé. L'environnement en question n'a donc jamais été connecté à nos systèmes de production.
Les allégations selon lesquelles nos serveurs de développement Salesforce internes auraient été piratés sont fausses. Les éléments divulgués, tels que les tables API spécifiques et les schémas de base de données, ne peuvent être que des artefacts d'un environnement de test tiers isolé, contenant uniquement des données factices utilisées pour vérifier les fonctionnalités. Bien qu'aucune donnée dans le dump ne fasse référence à NordVPN, nous avons contacté le fournisseur pour obtenir des informations supplémentaires.
Les systèmes NordVPN restent entièrement sécurisés. Vos données sont en sécurité et aucune action n'est requise de votre part.
