NordVPNは、社内のSalesforce開発サーバーが侵害されたとの疑惑を否定し、サイバー犯罪者が入手したのは、第三者の自動テストプラットフォーム上のトライアルアカウントにある「ダミーデータ」だと述べた。
同社の声明は、脅威アクター(ハンドル名1011)が週末にハッキングフォーラムで、NordVPNの開発サーバーに対するブルートフォース攻撃の後、SalesforceのAPIキーやJiraトークンなどの機密情報を含む10以上のデータベースを盗んだと主張したことを受けてのものだ。
「今日、nordvpnの開発サーバーから+10個のDBのソースコードをリークする。この情報は、salesforceとjiraの情報が保存されていたNordypnの設定不備サーバーをブルートフォースして入手した。侵害された情報:SalesForceのAPIキー、jiraトークンなど」 と、 脅威アクター は述べた。
しかしNordVPNが本日明らかにしたところによると、これは実際には、自動テストの潜在的ベンダーをトライアルで検証する際に数か月前に展開された一時的なテスト環境から盗まれたテストデータだったという。
リトアニアのVPNサービスである同社は、このテスト環境は自社インフラとは接続されておらず、盗まれたデータには機密性の高い顧客情報や事業情報は含まれていないと付け加えた。
「流出した要素、例えば特定のAPIテーブルやデータベーススキーマは、機能チェックに用いられるダミーデータのみを含む、隔離された第三者テスト環境の痕跡にすぎません。ダンプ内のいかなるデータもNordVPNを示すものではありませんが、追加情報を得るためベンダーに連絡しました」と、NordVPNは説明した。
「これは予備的なテストであり、契約は一度も締結されていないため、実際の顧客データ、プロダクションのソースコード、または有効な機密認証情報がこの環境にアップロードされることは一切ありませんでした。
「最終的に当社は別のベンダーを選び、テストしたベンダーとは進めませんでした。問題となっている環境は、当社のプロダクションシステムに接続されたことは一度もありません。」
今回の件は誤報に過ぎなかったが、2019年にはハッカーがNordVPNとTorGuardのサーバーを侵害し、完全なroot権限を取得して、同社のWebサーバーおよびVPN構成の保護に使われていた秘密鍵を盗み出した。
2019年のインシデントを受けて、NordVPNはバグバウンティプログラムを導入し、「フルスケール」の第三者セキュリティ監査のために外部のサイバーセキュリティ専門家を雇用した。
同社はまた、専有の専用サーバーへ切り替える計画と、全5,100台のサーバーインフラをRAMサーバーへアップグレードする計画も発表した。
