Alarm bei NordVPN: Der VPN-Anbieter wurde gehackt, im Netz kursiert eine Datei mit kryptografischen Schlüsseln und Server-Informationen. Wie ist es nun um die Sicherheit bestellt?
Der VPN-Anbieter NordVPN ist einem Hacker-Angriff ausgesetzt gewesen, bei dem die Angreifer Zugriff auf einen Server sowie drei private Schlüssel des Sicherheitsanbieters hatten. Die drei Schlüssel und Server-Informationen waren in Szenekreisen anscheinend bereits seit Längerem frei verfügbar. Was bedeutet dies für die Sicherheit des VPN-Dienstes?.
Geleakte Sicherheitsschlüssel
Schlecht gelaufen: Auf seinem Twitter-Account warb der in San Marino ansässige VPN-Anbieter NordVPN gerade mit dem Slogan „Niemand kann dein Online-Leben stehlen (wenn du ein VPN benutzt)“, als ein Dritter dazwischenfunkte und als Antwort den Link zu einer Textdatei postete, die brenzlige Informationen enthält. So scheint es sich um einen Server-Log eines VPN-Servers zu handeln, der von den Angreifern offenbar von NordVPN übernommen oder selbst aufgesetzt wurde. Neben eindeutigen Hinweisen auf die genaue Konfiguration des Servers enthält das Log drei kryptografische Schlüssel. Bei den Schlüsseln handelt es sich um zwei Schlüssel, die zur OpenVPN-Konfiguration gehören, und um einen privaten Schlüssel, der zu einem Webseitenzertifikat passt. Letzterer kann einem Zertifikat der NordVPN-Domain zugeordnet werden, das aber bereits abgelaufen ist.
In der Hacker-Szene führt eine Spur ins berüchtigte Imageboard „8chan“, in dem bereits im März 2018 ein anonymer User die besagte Textdatei gepostet hatte. Er postete neben dem mutmaßlichen Server-Log von NordVPN zwei weitere Logs anderer VPN-Anbieter, namentlich VikingVPN und Torguard. Auch hier finden sich Server-Informationen zum Anbieter und kryptografische Schlüssel im Klartext.
Ist NordVPN noch sicher?
Da laut NordVPN die Schlüssel ausschließlich für die Serverauthentifizierung und nicht für die Verschlüsselung des VPN als solches dienen, ist eine Gefährdung der Datensicherheit nicht anzunehmen. Die Verbindungen haben die sogenannte Perfect-Forward-Secrecy-Eigenschaft, das würde ein nachträgliches Entschlüsseln verhindern. Allerdings ist nicht ausgeschlossen, dass während des Hacks bei einem Man-in-the-Middle-Angriff auf Datenverkehr zugegriffen und dieser abgefangen oder manipuliert werden konnte. NordVPN hat auf seinem Twitter-Account mittlerweile ein Statement veröffentlicht und den Hack bestätigt. Laut Firmenaussagen fand im März 2018 ein widerrechtlicher Zugriff auf ein Rechenzentrum in Finnland statt. Der VPN-Dienstanbieter betont, dass dort keine sensible Daten wie Benutzernamen oder Kennwort abgefangen wurden. Die Zusammenarbeit mit dem betroffenen Rechenzentrum wurde nach Firmenaussagen beendet, eine umfangreiche Untersuchung der gesamten Serverstruktur umgehend durchgeführt. Laut NordVPN sind keine weiteren Server betroffen und man habe Maßnahmen ergriffen, die einen Wiederholungsfall verhindern sollen. Das bleibt zu wünschen; dennoch ist der Vorfall für einen Anbieter, der von dem Vertrauen in seinen Dienst lebt, ein schwerer Dämpfer.