Nuova verifica sulla sicurezza di NordVPN da parte di Cure53

Oggetto della verifica di Cure53

Nel 2025, NordVPN ha incaricato Cure53 di condurre un'ampia valutazione della sicurezza che coprisse sia le nostre applicazioni che la nostra infrastruttura. Cure53 è una società di penetration testing con sede in Germania con oltre 15 anni di esperienza nel testing di software.

Gli auditor hanno eseguito una serie di test di penetrazione (pentest) di tipo white-box e gray-box e hanno condotto approfondite revisioni del codice sorgente. Diciannove tester senior hanno lavorato a stretto contatto con i nostri ingegneri e hanno avuto pieno accesso a tutti i materiali necessari per i test. La valutazione si è svolta nei mesi di maggio, giugno e ottobre 2025 e ha richiesto diverse decine di giorni di lavoro complessivi sul progetto.

La valutazione ha riguardato molti componenti diversi di NordVPN, tra cui:

• Applicazioni Android, iOS, Windows, macOS e Linux.
• Estensioni del browser per Chrome, Edge e Firefox.
• Componenti di Threat Protection, tra cui la scansione dei malware e il filtraggio della rete.
• Autenticazione NordAccount e flussi MFA.
• API di base per VPN, Threat Protection, Meshnet e servizi di account.
• Server VPN e infrastruttura di supporto.
• Servizi containerizzati, logica di autenticazione e controlli di accesso interni all'ambiente server.

Cosa ha rilevato l'audit di Cure53

L'audit condotto da Cure53, nonostante la sua ampia portata, non ha individuato vulnerabilità critiche in nessuna delle aree oggetto della valutazione. Sebbene gli auditor abbiano identificato alcuni elementi ad alta gravità che richiedevano attenzione immediata, tutti i problemi riscontrati sono stati prontamente risolti e Cure53 ha verificato il corretto funzionamento di ciascuna soluzione implementata. I restanti risultati variavano da un livello di gravità medio a semplici osservazioni informative, riguardanti questioni di minore impatto che, pur non minacciando direttamente la sicurezza degli utenti, ci forniscono preziose indicazioni per rafforzare ulteriormente le protezioni interne. Tali risultati sono tipici per una revisione di sicurezza di questa portata. Oltre a questi riscontri, gli auditor hanno evidenziato diverse aree in cui il servizio ha dimostrato prestazioni particolarmente positive.

Applicazioni client sicure

L'audit ha evidenziato l'adozione di rigorose pratiche di sicurezza da parte delle nostre applicazioni su tutte le principali piattaforme. Sui dispositivi mobili, le app Android e iOS implementano misure di protezione stringenti, tra cui l'archiviazione sicura dei dati, l'uso controllato di WebView, l'autenticazione biometrica e il binding dei dispositivi, garantendo così un ambiente operativo affidabile e protetto. Per quanto riguarda i sistemi desktop, gli auditor hanno riscontrato un design IPC sicuro, una robusta logica di firewall e una corretta convalida dei deep link e delle operazioni sui file.

Autenticazione e protezione dell'account solide

Anche il sistema NordAccount ha superato brillantemente i test di Cure53, dimostrando una gestione sicura dei token, una convalida coerente degli input e un uso corretto degli standard di settore come PKCE. Gli auditor hanno confermato che l'isolamento delle sessioni e la convalida dello stato hanno contribuito a prevenire i comuni tentativi di bypass dell'autenticazione.

API ben strutturate e affidabili

Le API backend hanno dimostrato una solida implementazione delle misure di controllo degli accessi, una sanificazione accurata dei dati e una gestione sicura delle azioni sensibili. I componenti chiave del sistema, tra cui i sistemi di referral, i flussi di abbonamento e le API Meshnet, hanno superato con successo i test dettagliati.

Logica di Threat Protection robusta

Cure53 ha analizzato attentamente i componenti dedicati al rilevamento dei malware, con particolare attenzione agli approcci basati su hash e machine learning. Gli esperti hanno confermato che tali metodi sono stati implementati seguendo rigorose pratiche di sicurezza, garantendo un'efficace identificazione delle minacce. Gli auditor non sono stati in grado di individuare alcuna tecnica di bypass per aggirare i motori di scansione o i meccanismi di filtraggio del traffico.

Infrastruttura sicura e resiliente

Quando Cure53 ha ispezionato il nostro ambiente server, ha confermato che i nostri server VPN sono adeguatamente protetti e utilizzano regole firewall restrittive e un forte isolamento dei container. I revisori hanno concluso che la strategia di protezione complessiva di NordVPN costituisce una solida base per la sicurezza dei server.

Come ha risposto NordVPN

Una volta che Cure53 ha comunicato i propri risultati, i nostri ingegneri hanno immediatamente iniziato a migliorare il servizio. I problemi segnalati come più urgenti sono stati affrontati per primi e Cure53 ha successivamente confermato che il lavoro correttivo ha funzionato come previsto. Gli altri punti sono stati risolti o esaminati con i revisori per assicurarsi che le misure di sicurezza già in atto rimanessero adeguate.

Alcuni risultati erano limitazioni note o rischi accettati, ovvero situazioni in cui la modifica di un componente avrebbe creato nuove complicazioni senza migliorare la sicurezza. In questi casi, abbiamo collaborato con Cure53 per verificare che le protezioni esistenti rimanessero sufficienti.

Entrambi i rapporti di valutazione completi sono disponibili per gli utenti NordVPN tramite i loro account o cliccando sui seguenti link:

Mantenere NordVPN sicura

La sicurezza è un processo continuo che richiede un impegno costante e una vigilanza senza sosta. Revisioni regolari come questa ci consentono di identificare tempestivamente potenziali problemi e di adottare misure proattive per prevenire nuove minacce informatiche.

Gli ultimi risultati dei test di Cure53 confermano l'elevato livello di sicurezza delle applicazioni e dei sistemi di NordVPN, che continueremo a migliorare a beneficio di tutti gli utenti che si affidano al nostro servizio. Vorremmo a questo proposito ringraziare l'intero team di Cure53 per il lavoro meticoloso, la professionalità e la collaborazione dimostrata durante l'intera valutazione. La loro competenza sostiene il nostro impegno a mantenere NordVPN sicura.