A Cure53 avaliou mais uma vez a segurança da NordVPN

O que testou a Cure53

Em 2025, a NordVPN contratou a Cure53 para fazer uma avaliação de segurança em grande escala das suas aplicações e infraestrutura. A Cure53 é uma empresa de testes de penetração alemã com mais de 15 anos de experiência em testes de software.

Os auditores fizeram uma série de testes de penetração (pentests) de caixa branca e caixa cinzenta, bem como revisões exaustivas do código-fonte. Dezanove técnicos superiores trabalharam em estreita colaboração com os nossos engenheiros, com acesso total a todos os materiais necessários para os testes. A avaliação decorreu em maio, junho e outubro de 2025, tendo durado várias dezenas de dias úteis ao longo do projeto.

O âmbito dos testes abrangeu muitos dos componentes da NordVPN, incluindo:

• Aplicações para Android, iOS, Windows, macOS e Linux.
• Extensões de navegador para Chrome, Edge e Firefox.
• Componentes da Proteção contra Ameaças, incluindo deteção de malware e filtragem de rede.
• Autenticação da NordAccount e fluxos de MFA.
• Principais API da VPN, Proteção contra Ameaças, Meshnet e serviços de conta.
• Servidores da VPN e infraestrutura de apoio.
• Serviços em contentores, lógica de autenticação e controlos de acesso interno dentro do ambiente de servidores.

Resultados da auditoria da Cure53

Apesar do âmbito relativamente alargado da auditoria, a Cure53 não encontrou vulnerabilidades críticas em nenhuma parte da avaliação. E, embora os auditores tenham sinalizado vários itens como de alta gravidade e carecendo de atenção, todas as questões identificadas já foram corrigidas, tendo cada item sido verificado pela Cure53 para garantir que estava a funcionar como previsto. As restantes descobertas variaram do nível médio ao informativo (questões de menor impacto, que não ameaçam a segurança do utilizador, mas que nos ajudam a reforçar as proteções internas), sendo típicas de uma avaliação de segurança a esta escala. A par destes resultados, os auditores destacaram algumas áreas em que o serviço teve um desempenho especialmente bom.

Aplicações seguras para clientes

A auditoria revelou que as nossas aplicações seguem práticas de segurança rigorosas em todas as principais plataformas. Nos dispositivos móveis, as aplicações para Android e iOS aplicam medidas de segurança rigorosas, incluindo armazenamento seguro de dados, utilização controlada do WebView, proteções biométricas e enlace de dispositivos. Na aplicação para ambiente de trabalho, os auditores registaram um design IPC seguro, uma lógica de firewall robusta e uma validação adequada de ligações avançadas (deep links) e das operações de ficheiros.

Nível forte de autenticação e proteção de contas

O sistema da NordAccount também teve um bom desempenho nos testes da Cure53, demonstrando um manuseio seguro de tokens, a validação consistente de entradas e uma utilização correta das normas do setor, como a PKCE. Os auditores confirmaram que o isolamento de sessões e a validação de estado ajudaram a impedir as tentativas mais comuns de contornar o processo de autenticação.

API bem estruturadas e fidedignas

As API de back-end demonstraram uma forte aplicação do controlo de acesso, sanitização completa e tratamento seguro de ações sensíveis. Os componentes principais, incluindo sistemas de referência, fluxos de subscrição e API da Meshnet, funcionaram conforme previsto quando sujeitos a testes exaustivos.

Lógica robusta de proteção contra ameaças

A Cure53 analisou os componentes de deteção de malware e constatou que os métodos baseados em hash e na aprendizagem automática foram implementados de modo seguro. Os auditores não encontraram formas de contornar os motores de verificação nem os mecanismos de filtragem de tráfego.

Infraestrutura segura e resiliente

Quando a Cure53 inspecionou o nosso ambiente de servidores, confirmou que os servidores VPN estão devidamente protegidos e utilizam regras de firewall restritivas, com um forte isolamento de contentores. Os auditores concluíram que a estratégia geral de proteção da NordVPN constitui um alicerce sólido para a segurança dos servidores.

Resposta da NordVPN

Assim que a Cure53 apresentou os resultados da avaliação, os nossos engenheiros começaram de imediato a trabalhar para melhorar o serviço. As questões sinalizadas como mais urgentes foram tratadas em primeiro lugar, tendo a Cure53 confirmado posteriormente que as medidas implementadas funcionaram conforme previsto. Os restantes itens foram resolvidos ou analisados com os auditores para garantir que as salvaguardas que já estavam em vigor eram adequadas.

Algumas das descobertas diziam respeito a limitações já conhecidas ou riscos aceites — situações em que a alteração de um componente criaria complicações, sem melhorar a segurança. Nesses casos, trabalhámos com a Cure53 para validar que as proteções existentes continuavam a ser suficientes.

Ambos os relatórios de avaliação completos estão disponíveis para os utilizadores da NordVPN consultarem nas suas contas ou seguindo as ligações abaixo:

Investimento na segurança da NordVPN

A segurança é uma área que exige um esforço contínuo, e avaliações regulares como esta ajudam-nos a identificar potenciais problemas em tempo útil, de modo a impedir a instalação de novas ciberameaças. É por isso que continuaremos a investir no aperfeiçoamento da NordVPN, através de auditorias de segurança independentes e, sempre que possível, do aperfeiçoamento da nossa infraestrutura.

O trabalho de segurança nunca tem fim, e cada nova avaliação ajuda-nos a tornar o serviço ainda mais seguro. Os resultados dos últimos testes da Cure53 mostram que as aplicações e os sistemas da NordVPN continuam protegidos, e continuaremos a melhorá-los para benefício de todos os utilizadores que confiam no nosso serviço. Gostaríamos também de agradecer a toda a equipa da Cure53 pelo trabalho minucioso e pela cooperação ao longo desta avaliação. A sua experiência contribui para o nosso compromisso de manter a NordVPN segura.