Die Veröffentlichungn der beteiligten Unternehmen sind zum Teil komplett absurd. Da wird Pressearbeit, Marketing und Security Information zusammen geworfen.
NordVPN hatte bei der Creanova Hosting Solutions Ltd. aus Finnland (mindestens) einen Server gemietet um 4 VPN Endpunkt Container darauf zu betreiben. Laut
, einem Journalist von
, sagt Creanova dazu, ihre Server seien grundsätzlich mit iLO oder iDRAC ausgestattet, würden regelmäßig gepatched und "nur auf besondere Anforderung der Kunden in ein privates Netzwerk verlegt oder gesperrt".
NordVPN bezeichnet das, im oben verlinkten Blog, als "poor configuration ... we were never notified of."
Dann erläutern sie die Hardware Remote Management Schnittstelle des Rechenzentrums sei gehackt worden. und Creanova habe sie darüber nicht informiert.
TorGuard verweist auf einen Thread in 8chans /b/ von Mai 2018, dort waren drei Links zu GhostDump in einem Beitrag verlinkt. Einer davon das orginal der von Lady in #1 verlinkten Copy. Alle noch im WebArchive verfügbar. Je einer für NordVPN, TorGuard und VikingVPN. Wahrscheinlich handelt es sich um verschiedene Hacks, denn der VikingVPN Dump nennt die "Chicago 17-20" (ebenfalls 4 Endpunkte auf einem Server) und die werden wohl kaum in Finnland gehostet worden sein.
Um so absurder, dass TorGuard erklärt es sei "kein externer Zugriff" gewesen, dass schon seit langem davon wissen, und dann komplett das Thema wechselt um ihre Klage gegen NordVPN und Collectiv 7 ins Rampenlicht zu rücken, der für mich nach einem komplett anderen Incident aussieht.
Die VPN Anbieter schwafeln systematisch was von "isolated breach of a single VPN server" und das ist krass daneben.
Ich zähle 4 Endpoints bei NordVPN, 4 bei Viking, und einen bei TorGuard, sowie ein signifikantes Risiko, dass weitere Server in den jeweiligen RZs Ende 2017 / Anfang 2018 von den Lücken im Remote Management betroffen waren (
old news is old 
). Eventuell hatte der Hacker auch mehr als einen Trick in der Kiste.
Zumindest hatte das TorGuard shared secret für deren RADIUS Server eine bessere Entropy.
Sowohl bei NordVPN, als auch bei VikingVPN waren CA Keys der jeweiligen Endpoints enthalten, wobei die bei den Anbietern bewusst dezentralisiert sind, sodass jeder Endpoint eine eigene CA hat. Es gibt dennoch keinen Grund diese Keys auf der jeweiligen Maschine liegen zu haben, und gute Gründe dagegen.
Alle User /-innen die einen so gehackten Server nutzten waren für den Gültigkeitszeitraum jener CA Zertifikate anfällig für MITM Angriffe. Abhängig davon wie die Clients das Vertrauen gegenüber diesen CA-Zertifikaten verwalten und anwenden eventuell auch dann noch, wenn sie den Server wechselten.
Das wären aufwändige gezielte Angriffe, aber die VPN-Anbieter werben mit Schutz vor Nation State und Network Level Antagonisten, oder sehe ich das falsch? Die Verweise auf "im vergangenen Jahr mehr auditiert und noch besser konfiguriert" der Betreiber sind niedlich. Alle drei Anbieter sind eher zaghaft mit der Herausgabe von Details ihrer technischen Infrastruktur und diese Story zeichnet kein gutes Bild vom Zustand Anfang 2018.
