1011という別名を名乗るハッカーが、NordVPNの開発サーバーに侵入したと主張し、最新バージョンのBreachForumsに、データベースのダンプや設定サンプルと思われるものを投稿しました。流出は「 nordvpn.com SalesForce - leaked, Download!」というタイトルで共有され、設定不備のあるシステムをブルートフォースしてアクセスを得たという主張が添えられていました。
投稿には、攻撃者がSalesforceのAPIキー、Jiraトークン、そして10以上のデータベースからのソースコードだと説明するものが含まれていました。ハッカーが共有したスクリーンショットには、開発環境由来である可能性を示すデータ構造やフィールド名が表示されていましたが、ハッカーのラベル以外に、それがNordVPNに結び付くことを明確に示すものはスクリーンショット内にありません。
NordVPNの回答
NordVPNは迅速に対応し、社内システムは侵害されていないと述べました。同日公開されたブログ投稿で、同社はこれらの主張に正面から向き合い、流出内容に実際に含まれていると考えるものを説明しています。
NordVPNによると、ファイルはサードパーティ製プラットフォームの評価中に、6か月前に用意されたテスト環境に由来するとのことです。試用期間は短期間で、契約は締結されず、その過程で本番システムが接続されることもありませんでした。同社は、機微な顧客情報、実際のAPIキー、社内ソースコードはいずれも当該ベンダーと共有していないと明確にしました。
同社のブログでは、流出で示された環境は稼働中のSalesforceインフラの一部ではないと強調しています。代わりに、自動テストツールを評価するために短期間だけ使用された隔離されたサンドボックスだったといいます。NordVPNは、問題のデータにはダミーの内容しか含まれておらず、いかなるライブサービスでも使用されていないと述べました。
ハッカーはNordVPNの中核システムに関わる重大な侵害として投稿を位置付けましたが、同社はその関連性自体を全面的に否定しています。データは、すでに終了して久しい試用期間中に一時的に使用されたサードパーティのシステム由来だと確信しているとのことです。また、さらなる確認のため、そのベンダーにも連絡を取ったとしています。
現時点では、ハッカーが共有したサンプルとNordVPNのいかなる本番環境との間にも、検証可能な関連性はありません。同社は状況の監視を継続しており、顧客側で必要な対応はないと述べています。
翻訳元: https://hackread.com/nordvpn-denies-breach-hacker-salesforce-dev-data/
