Cure53 再次評估 NordVPN 的安全性

Cure53 的測試內容

2025 年，NordVPN 委託 Cure53 進行全面安全評估，涵蓋我們的應用程式與基礎架構。Cure53 是德國滲透測試公司，擁有超過 15 年的軟體測試經驗。

稽核團隊執行了一系列白箱與灰箱滲透測試（pentests），並進行廣泛的原始碼審查。十九名資深測試人員與我們的工程師密切合作，並獲准全面存取測試所需的所有材料。評估作業於 2025 年 5 月、6 月及 10 月進行，整個專案歷時數十個工作日。

測試範圍涵蓋 NordVPN 多項核心元件，包括：

• Android、iOS、Windows、macOS 及 Linux 應用程式。
• Chrome、Edge 與 Firefox 瀏覽器擴充功能。
• 威脅防護元件（含惡意軟體掃描和網路過濾功能）。
• NordAccount 身分驗證與多重要素驗證流程。
• VPN、威脅防護、網狀網路及帳戶服務的核心 API。
• VPN 伺服器和支援基礎架構。
• 伺服器環境內的容器化服務、認證邏輯和內部存取控制。

Cure53 稽核發現的內容

儘管本次稽核範圍相對廣泛，Cure53 在評估的任何環節均未發現關鍵漏洞。雖然稽核人員標記了幾項高嚴重性且需關注的項目，但所有已識別問題都已修復，且每項修復措施均經 Cure53 驗證功能正常。其餘發現事項分佈於中度至資訊性層級（屬影響較低、不威脅使用者安全但有助強化內部防護的項目），此類發現符合此規模安全審查的典型範圍。除上述發現外，稽核人員還特別強調服務表現尤為出色的領域。

安全的用戶端應用程式

稽核顯示我們的應用程式在所有主要平台均遵循嚴謹的安全規範。行動端方面，Android 與 iOS 應用程式實施了嚴格的安全措施，包含安全資料儲存、控制的 WebView 使用、生物辨識保護及裝置綁定機制。桌面端方面，稽核人員特別指出其具備安全的 IPC 設計、強健的防火牆邏輯，以及對深度連結與檔案操作的正確驗證機制。

強效身分驗證和帳戶防護

NordAccount 系統在 Cure53 測試中表現優異，展現出安全的憑證處理、一致的輸入驗證，以及正確採用 PKCE 等業界標準。稽核人員確認工作階段隔離和狀態驗證機制有效防範了常見的身分驗證繞過攻擊。

結構完善且可靠的 API

後端 API 展現出強大的存取控制執行力、徹底的資料淨化機制，以及對敏感操作的安全處理。核心元件（包括推薦系統、訂閱流程及網狀網路 API）在詳細測試中均能如預期運作。

穩固的威脅防護邏輯

Cure53 審查惡意軟體偵測元件後，確認其採用的雜湊值與機器學習技術均已安全實施。稽核人員未發現可繞過掃描引擎或流量過濾機制的漏洞。

安全且具韌性的基礎架構

Cure53 檢視我們的伺服器環境後，確認 VPN 伺服器已妥善強化防護，採用嚴格的防火牆規則與強效容器隔離機制。稽核人員結論指出，NordVPN 的整體強化策略為伺服器安全奠定了堅實基礎。

NordVPN 的回應

在 Cure53 提交評估結果後，我們的工程團隊立即著手優化服務。最緊急的問題優先處理，Cure53 後續也確認修正措施已如預期發揮作用。其餘項目則透過解決或與稽核人員共同審查，確保既有防護機制仍具適當性。

部分發現屬於已知限制或可接受風險——即修改元件可能引發新問題卻無法提升安全性之情況。對此類情形，我們與 Cure53 共同驗證現有防護措施仍具充分效力。

兩份完整評估報告均可透過 NordVPN 使用者帳戶或以下連結查閱：

維護 NordVPN 的安全

安全是需要持續投入的領域，定期進行此類審查有助於我們及早發現潛在問題，並防範新型網路威脅的侵襲。正因如此，我們會持續投資強化 NordVPN，透過執行獨立安全稽核並盡可能優化基礎架構來達成目標。

安全工作永無止境，每次新評估都讓我們能使服務更加安全。最新的 Cure53 測試結果顯示，NordVPN 的應用程式與系統仍受到完善保護，團隊會持續改進以造福所有依賴本服務的使用者。同時感謝 Cure53 團隊在本次評估中展現的縝密工作與合作精神，他們的專業知識支持著我們致力於守護 NordVPN 安全的承諾。