Nhà cung cấp mạng riêng ảo NordVPN với quảng cáo sẽ bảo vệ quyền riêng tư trực tuyến của người dùng, nhưng mới đây đã xác nhận hãng đã bị hack.
Sự thừa nhận này diễn ra sau những tin đồn dữ liệu của hãng này đã bị tấn công. Đây là lần đầu tiên xuất hiện thông tin NordVPN có một khóa riêng nội bộ đã hết hạn và bị lộ. Khóa này có khả năng cho phép bất cứ ai thoát ra khỏi máy chủ của chính họ mô phỏng theo NordVPN.
Các dịch vụ VPN đang ngày càng phổ biến vì họ dường như cung cấp sự riêng tư khỏi các nhà cung cấp dịch vụ internet cũng như sự ẩn danh khi truy cập các trang web. Đó là lý do tại sao các nhà báo và nhà hoạt động thường sử dụng các dịch vụ này, đặc biệt là khi họ làm việc tại các quốc gia thù địch.
Các nhà cung cấp này chuyển tất cả lưu lượng truy cập internet của người dùng thông qua một kết nối mã hóa, khiến mọi người trên internet gặp khó khăn hơn trong việc xem website nào bạn đang truy cập, hoặc ứng dụng nào bạn đang dùng. Nhưng điều đó thường có nghĩa là thay thế lịch sử duyệt web của bạn từ ISP sang nhà cung cấp VPN. Điều đó khiến cho nhiều nhà cung cấp phải xem xét kỹ lưỡng, vì không rõ liệu họ có đăng nhập website mà khách hàng từng truy cập hay không.
Về phần này, NordVPN tuyên bố chính sách của họ là không ghi nhật ký, theo dõi, thu thập hoặc chia sẻ dữ liệu cá nhân của người dùng. Nhưng vụ tấn công này có thể gây ra báo động rằng tin tặc có thể đã có thể truy cập một số dữ liệu từ người dùng.
TechCrunch cho biết một trong những trung tâm dữ liệu của NordVPN đã bị truy cập mà không có sự cho phép vào tháng 3/2018. Kẻ tấn công đã chiếm quyền truy cập vào máy chủ hoạt động được khoảng một tháng, bằng cách khai thác một chương trình quản lý từ xa thiếu an toàn do nhà cung cấp trung tâm dữ liệu để lại. NordVPN cho biết họ không biết rằng có một hệ thống như vậy tồn tại, cũng như không cho biết tên trung tâm này.
Người phát ngôn của NordVPON cho biết máy chủ bị tấn công không chứa bất kỳ nhật ký hoạt động nào của người dùng, không có ứng dụng nào của hãng gửi thông tin do người dùng tạo để xác thực, vì vậy tên người dùng và mật khẩu không thể bị khai thác. Thông thường, cách duy nhất có thể để lạm dụng lưu lượng truy cập website là thực hiện một cuộc tấn công trung gian (man-in-the-middle attack) phức tạp để chặn một kết nối đang truy cập NordVPN. Hãng này xác nhận khóa riêng này đã hết hạn, không thể được sử dụng để giải mã đường truyền VPN trên bất kỳ máy chủ nào khác.
Vụ tấn công đã bị phát hiện vài tháng trước, nhưng hãng đã không được tiết lộ cho đến hôm nay vì muốn chắc chắn rằng mỗi thành phần trong cơ sở hạ tầng của họ đều được bảo mật.
TechCrunch đã trao đổi với một nhà nghiên cứu bảo mật (yêu cầu không nêu tên) về những thông tin từ vụ tấn công. Nhà nghiên cứu bảo mật này cho biết, trong khi chưa được xác nhận và chúng tôi đang chờ bằng chứng điều tra, đây là dấu hiệu cho thấy sự thỏa hiệp của các nhà cung cấp hệ thống này.
NordVPN cho biết không có máy chủ nào khác bị ảnh hưởng. Nhưng chuyên gia bảo mật cảnh báo rằng hãng đang bỏ qua vấn đề lớn hơn của kẻ tấn công có thể truy cập trên mạng. “Hãy hình dung thế này, xe của bạn vừa bị đánh cắp trong một chuyến đi, vậy bạn có thể ngụy biện về việc nút nào được nhấn trên radio không?”
Ở đây, NordVPN nói đã cài đặt các hệ thống phát hiện xâm nhập, một công nghệ phổ biến các hãng sử dụng để phát hiện sớm các vi phạm, nhưng lại không hề biết về một hệ thống quản lý từ xa không được tiết lộ do nhà cung cấp trung tâm dữ liệu để lại.
NordVPN gần đây được các trang tin tức công nghệ lớn như TechRadar, PCMag và Cnet khuyên dùng. Và trường hợp của hãng này không phải là điển hình, TechCrunch cho biết cả TorGuard và VikingVPN cũng đã bị tấn công.
Theo TechCrunch