A Cure53 analisou a segurança da NordVPN mais uma vez

O que a Cure53 testou

Em 2025, a NordVPN solicitou que a Cure53 conduzisse uma avaliação abrangente de segurança cobrindo nossas aplicações e nossa infraestrutura. A Cure53 é uma empresa de testes de penetração sediada na Alemanha com mais de 15 anos de experiência em testes de software.

Os auditores executaram uma série de testes de penetração (pentests) white-box e gray-box e conduziu fontes extensivas de análise de código. Dezenove testadores sênior trabalharam de perto com nossos engenheiros e tiveram acesso total a todos os materiais exigidos para realizar as análises. A auditoria aconteceu nos meses de maio, junho e outubro de 2025 e levou várias dúzias de dias de trabalho para concluir o projeto.

O escopo analisou diferentes componentes da NordVPN, incluindo:

• Aplicações Android, iOS, Windows, macOS e Linux.
• Extensões de navegador para Chrome, Edge e Firefox.
• Componentes da Proteção Contra Ameaças, incluindo verificação de malware e filtragem de rede.
• Processos de autenticação e MFA da NordAccount.
• APIs centrais para a VPN, a Proteção Contra Ameaças, Rede Mesh e serviços de conta.
• Servidores VPN e infraestrutura de suporte.
• Serviços compartimentados, lógica de autenticação e controles de acesso interno no ambiente do servidor.

Quais as descobertas da auditoria da Cure53

Apesar do escopo relativamente amplo da auditoria, a Cure53 não encontrou nenhuma vulnerabilidade crítica em nenhuma etapa dos testes. E, apesar de os auditores sinalizarem vários itens como severidade alta exigindo atenção, todos os problemas identificados já foram corrigidos e cada item verificado pela Cure53 está funcionando como esperado. As descobertas vão desde o nível médio até o informativo (ou seja, apontamentos de questões de menor impacto que não significam riscos de segurança para os usuários, mas que nos ajudam a fortalecer as proteções internas). Esses apontamentos são considerados normais para uma revisão dessa escala. Além dessas descobertas, os auditores ressaltaram algumas áreas nas quais o serviço mostrou um desempenho particularmente bom.

Segurança das aplicações de cliente

A auditoria revelou que nossas aplicações seguem práticas robustas de segurança em todas as principais plataformas. Para dispositivos móveis, os apps para Android e iOS implementam práticas de segurança bem restritas, incluindo armazenamento seguro de dados, uso controlado de WebView, proteção biométrica e vinculação de dispositivos. No desktop, os auditores ressaltaram o design seguro de IPC, lógica reforçada de firewall e validação apropriada de deep links e operações de arquivos.

Proteção e autenticação de contas robustas

O sistema da NordAccount também se saiu bem nos testes da Cure53, mostrando o manuseio seguro de tokens, validação consistente de inserções e o uso correto de padrões da indústria como PKCE. Os auditores confirmaram o isolamento da sessão e a validação de estado, o que ajudou a prevenir tentativas de burlar o processo de autenticação.

APIs bem estruturadas e confiáveis

Os APIs de backend mostraram um forte reforço no controle de acessos, um processo complexo de sanitização, além do manuseio seguro de ações sensíveis. Os componentes fundamentais, incluindo o sistema de indicações, fluxos de assinatura e APIs de Rede Mesh, funcionaram como deveriam durante os testes detalhados.

Lógica robusta de Proteção Contra Ameaças

A Cure53 revisou os componentes de detecção de malware e descobriu que as abordagens hash-based e de machine-learning foram implementadas em segurança. Os auditores não identificaram métodos para burlar as engines de verificação nem de mecanismos de filtragem de tráfego.

Infraestrutura segura e resiliente

Quando a Cure53 inspecionou nosso ambiente de servidores, eles confirmaram que os nossos servidores de VPN são fortalecidos de maneira apropriada, além de empregar regras de firewall bastante restritivas e um isolamento de contêiner muito forte. Os auditores concluíram que a estratégia geral de reforço da NordVPN forma uma base bem forte para a segurança dos servidores.

A resposta da NordVPN

Depois que a Cure53 compartilhou seus resultados, nossos engenheiros começaram a melhorar o serviço imediatamente. Os problemas sinalizados como mais urgentes foram corrigidos primeiro, e depois a Cure53 confirmou que as correções desses problemas funcionaram do jeito certo. Os itens restantes ou foram solucionados ou revisados com auditores para garantir que as medidas de segurança que nós já colocamos em ação são apropriadas.

Alguns dos elementos apontados são limitações conhecidas ou riscos aceitos, situações nas quais alterar um componente poderia criar novas complicações sem aprimorar a segurança. Nesses casos, nós trabalhamos em conjunto com a Cure53 para validar e confirmar que as proteções existentes continuam sendo suficientes.

Ambos os relatórios abrangentes estão disponíveis para os usuários da NordVPN através de suas contas pessoais ou pelos links abaixo:

Mantendo o padrão de segurança da NordVPN

A segurança é uma área que exige esforços constantes e análises regulares como essa, principalmente porque isso nos ajuda a identificar problemas em potencial e evitar que novas ciberameaças se estabeleçam. É por isso que nós vamos continuar a investir no fortalecimento da NordVPN ao executar auditorias de segurança independentes e aprimorar nossa infraestrutura sempre que possível.

Trabalhar com segurança é algo que não acaba nunca, e cada nova auditoria nos ajuda a tornar nosso serviço ainda mais seguro. Os resultados mais seguros da Cure53 mostram que as aplicações e sistemas da NordVPN continuam muito bem protegidos e nós vamos continuar a aprimorá-los para beneficiar todos os nossos usuários que dependem dos nossos serviços. Nós também queremos agradecer toda a equipe da Cure53 pelo trabalho minucioso e pela cooperação através da análise inteira. O conhecimento deles ajuda no nosso comprometimento para manter a NordVPN segura.