Alguns meses atrás, percebemos que, em março de 2018, um dos datacenters na Finlândia dos quais alugávamos os nossos servidores foi acedido sem autorização. O invasor obteve acesso ao servidor explorando um sistema de acesso remoto inseguro deixado pelo provedor do datacenter. Não estávamos a par da existência desse sistema. O servidor em si não continha nenhum registo de atividade do usuário; nenhuma das nossas aplicações envia credenciais criadas pelo usuário para autenticação; sendo assim, nomes de usuário e senhas também não foram interceptados. O arquivo de configuração exato encontrado na internet pelos especialistas de segurança deixou de existir a 5 de março de 2018. Esse foi um caso isolado, e nenhum outro provedor de datacenter que usamos foi afetado.
Quando descobrimos o incidente, lançamos imediatamente uma auditoria interna completa para verificar toda a nossa infraestrutura. Verificamos repetidamente se algum outro servidor poderia ser explorado dessa maneira e criamos um processo para mover todos os nossos servidores para a RAM, que deve ser concluído no próximo ano. Também aumentamos a fasquia para todos os datacenters com os quais trabalhamos. Agora, antes contratar algum, garantimos que seguem padrões ainda mais altos.
Quando descobrimos a vulnerabilidade que o datacenter tinha alguns meses atrás, rescindimos contrato imediatamente e destruímos todos os servidores que tínhamos alugado a esse provedor. Não divulgamos a exploração de imediato porque tínhamos como prioridade garantir que parte nenhuma da nossa infraestrutura pudesse estar exposta a problemas semelhantes. Esse processo é um pouco demorado devido a quantidade de servidores e à complexidade de nossa infraestrutura.
A linha cronológica é a seguinte: o servidor afetado foi criado e adicionado à nossa lista de servidores a 31 de janeiro de 2018. O datacenter apercebeu-se da vulnerabilidade que havia deixado e ocultou a conta de acesso remoto sem nos notificar, a 20 de março de 2018. Os nossos técnicos descobriram que o provedor do servidor tinha ocultado essa conta há alguns meses atrás. Imediatamente tomamos medidas para auditar toda a nossa rede de servidores e aceleramos a encriptação de todos os nossos servidores.
A chave TLS expirada foi obtida na mesma altura em que o datacenter foi acedido. No entanto, a chave não poderia ter sido usada para decriptar o tráfego da VPN de qualquer outro servidor. Também, a única maneira possível de abusar do tráfego do site seria executando um ataque MiTM personalizado e complicado para interceptar uma conexão isolada que tentasse aceder a nordvpn.com.
Recapitulando, no início de 2018, um datacenter isolado na Finlândia foi acedido sem autorização. Isso foi feito explorando a vulnerabilidade de um de nossos provedores de servidores que nos havia ocultado tal informação. Nenhuma credencial do usuário foi interceptada. Nenhum outro servidor na nossa rede foi afetado. O servidor afetado não existe mais e o contrato com o provedor do servidor foi rescindido.
Embora tenha sido afetado apenas 1 dos mais de 3000 servidores que tínhamos na altura, o nosso objetivo não é minimizar a gravidade do problema. Falhamos ao contratar um provedor de servidor não confiável e deveríamos ter feito melhor para garantir a segurança de nossos clientes. Estamos a tomar todas as medidas necessárias para melhorar nossa segurança. Passamos por uma auditoria de segurança de aplicações, estamos a trabalhar numa segunda auditoria sem registo de logs e estamos a preparar um programa de recompensa por bugs encontrados. Faremos o possível para maximizar a segurança de todos os aspetos do nosso serviço e, no próximo ano, lançaremos uma auditoria externa independente em toda a nossa infraestrutura para garantir que não passou nada despercebido.
Com este incidente, aprendemos lições muito importantes sobre segurança, comunicação e marketing.