Şirketten yapılan bu açıklama, hafta sonu bir hack forumunda “1011” takma adını kullanan bir tehdit aktörünün; NordVPN geliştirme sunucusu üzerinde gerçekleştirdiği kaba kuvvet (brute-force) saldırısının ardından, Salesforce API anahtarları ve Jira jetonları (token) gibi hassas bilgiler içeren 10’dan fazla veritabanını çaldığını iddia etmesi üzerine geldi.
Tehdit aktörü açıklamasında şunları söyledi:
“Bugün bir NordVPN geliştirme sunucusundan 10’dan fazla veritabanının kaynak kodlarını sızdırıyorum. Bu bilgiler, içinde Salesforce ve Jira bilgilerinin saklandığı, yanlış yapılandırılmış bir NordVPN sunucusuna kaba kuvvet uygulanarak elde edildi. Ele geçirilen bilgiler: Salesforce API anahtarları, Jira jetonları ve daha fazlası.”
Ancak NordVPN’in bugün açıkladığı üzere; bu veriler aslında aylar önce, otomatik test hizmeti sunan potansiyel bir tedarikçinin denenmesi sırasında kurulan geçici bir test ortamından çalınan test verileridir.
Litvanya merkezli VPN servisi, bu test ortamının şirketin kendi altyapısıyla hiçbir bağlantısı olmadığını ve çalınan verilerin hassas müşteri veya şirket bilgileri içermediğini de sözlerine ekledi.
NordVPN şu açıklamayı yaptı:
“Sızdırılan belirli API tabloları ve veritabanı şemaları gibi unsurlar; yalnızca işlevsellik kontrolleri için kullanılan sahte verileri barındıran, izole edilmiş bir üçüncü taraf test ortamına ait kalıntılardan ibarettir. Veri dökümündeki hiçbir bilgi doğrudan NordVPN’i işaret etmese de, ek bilgi almak adına ilgili tedarikçiyle iletişime geçtik.”
“Bu yalnızca bir ön test olduğu ve herhangi bir sözleşme imzalanmadığı için; bu ortama hiçbir zaman gerçek müşteri verisi, canlı sistem (prodüksiyon) kaynak kodu veya aktif hassas kimlik bilgileri yüklenmemiştir.”
“Nihayetinde farklı bir tedarikçiyi tercih ettik ve test ettiğimiz firma ile çalışmadık. Söz konusu ortam, hiçbir zaman canlı üretim sistemlerimize bağlanmamıştır.”
Bu olay sadece yanlış bir alarmdan ibaret olsa da; 2019 yılında bilgisayar korsanları NordVPN ve TorGuard sunucularına sızmış, tam root (yönetici) erişimi kazanmış ve web sunucuları ile VPN yapılandırmalarını güvene almak için kullanılan özel anahtarları çalmışlardı.
2019’daki bu olaya yanıt olarak NordVPN, bir hata ödül programı (bug bounty) başlattı ve “kapsamlı” bir üçüncü taraf güvenlik denetimi için şirket dışından siber güvenlik uzmanlarıyla anlaştı.
Şirket ayrıca, tamamen mülkiyeti kendilerine ait olan özel (dedicated) sunuculara geçiş yapacağını ve 5.100 sunuculuk altyapısının tamamını RAM tabanlı (disksiz) sunuculara yükselteceğini duyurmuştu.
