Vpn-provider NordVPN bevestigt inbraak op Finse server
Een aanvaller heeft in maart 2018 toegang tot een Finse server van vpn-provider NordVPN gekregen en daar een privésleutel bemachtigd waarmee man-in-the-middle-aanvallen konden worden uitgevoerd. Dat laat het bedrijf vandaag tegenover TechCrunch weten.
Gisteren verschenen op Twitter de eerste berichten dat NordVPN was gecompromitteerd en een aanvaller een inmiddels verlopen privésleutel in handen had gekregen. Volgens de vpn-provider werd één van de datacenters die het in Finland gebruikt zonder toestemming benaderd. De aanvaller wist via een "onveilig remote beheersysteem" dat door de datacentrumprovider was achtergelaten toegang tot de server te krijgen. NordVPN wist naar eigen zeggen niet dat een dergelijk systeem aanwezig was. De naam van de datacentrumprovider is niet bekendgemaakt.
De server in kwestie bevatte geen activiteitenlogs van gebruikers, aldus een woordvoerder. Wel was het mogelijk geweest om via de server een gepersonaliseerde man-in-the-middle-aanval uit te voeren, waarbij "een enkele verbinding" van een gebruiker die verbinding met NordVPN probeerde te maken had kunnen worden onderschept. Met de privésleutel was het niet mogelijk om vpn-verkeer van een andere server te ontsleutelen.
De inbraak werd een "aantal maanden" geleden door de vpn-provider ontdekt. Pas vandaag is die bekendgemaakt. De vpn-provider wilde naar eigen zeggen eerst zeker weten dat elk onderdeel van de eigen infrastructuur veilig is.
Reacties (25)
En wij maar denken dat vpn zo veilig is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.
Door Anoniem: Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
Dat denk ik ook. En het is ook een monster van gigantische proporties.
21-10-2019, 23:01 door
CuttUr6
Een veilig gevoel op internet is dan ook altijd een vals gevoel van veiligheid.
Alles is te compromitteren
Alles is te compromitteren
Door Anoniem: Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.
Maar is persoonlijk beter, ook echt veel beter?Door CuttUr6: Een veilig gevoel op internet is dan ook altijd een vals gevoel van veiligheid.
Alles is te compromitteren
Alles is te compromitteren
Dat geldt voor de hele wereld. Elk gevoel van veiligheid is bij nadere beschouwing schijnveiligheid te noemen.
Er is (helaas) maar één goede VPN provider en dat is Mullvad, de anderen zijn op zijn minst discutabel als je het complete plaatje bekijkt.
Door Anoniem: Nordvpn vind ik lang niet meer wat het geweerst is,ExpressVPN vind ik persoonlijk echt beter.
Leuk een persoonlijke mening, toch zie ik liever feiten.
Is het pijnlijk als je als VPN provider een potentieel MITM lek hebt? Zeker.
Vind ik dit een wereldschokkend lek door beschamende incompetentie? Valt eigenljk wel mee. Zoals ik het lees zat de oorzaak bij het datacenter, niet bij spullen beheerd door NordVPN zelf. Natuurlijk hoop je dat ze met reputabele datacenters in zee gaan, maar shit happens. En dan is er één sleutel gelekt waardoor mogelijk één verbinding kon worden onderschept? Dat vind ik een impact die best te overzien is.
Jammer, maar niet eentje voor de datalekken wall of shame.
Vind ik dit een wereldschokkend lek door beschamende incompetentie? Valt eigenljk wel mee. Zoals ik het lees zat de oorzaak bij het datacenter, niet bij spullen beheerd door NordVPN zelf. Natuurlijk hoop je dat ze met reputabele datacenters in zee gaan, maar shit happens. En dan is er één sleutel gelekt waardoor mogelijk één verbinding kon worden onderschept? Dat vind ik een impact die best te overzien is.
Jammer, maar niet eentje voor de datalekken wall of shame.
En wij maar denken dat vpn zo veilig is. En al die reclame voor Nord-vpn hwt laatste jaar. Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
Is allemaal mensenwerk, en blijft dus allemaal kwetsbaar. Naast risico op hacking; veel mensen denken dat een non-logging policy iets inhoudt wanneer mensen illegale activiteiten ondernemen, via een VPN verbinding.
Terwijl een non-logging policy *niet* inhoudt dat een VPN provider geen tap apparatuur installeert voor bijvoorbeeld politie, aan de hand van een gerechtelijk bevel.
Je veiligheid, daar moet je verder zelf voor zorgen. Vertrouwen dat een commerciele onderneming dat voor je doet (en daarbij voor je door het vuur gaat, wanneer je illegale handelingen verricht via een VPN), is redelijk lachwekkend.
toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
Tot ze, gedwongen door een gerechtelijk bevel, tap apparatuur installeren voor de politie bijvoorbeeld. Natuurlijk weten ze wie je bent, op het moment dat het nodig mocht zijn. Laat je je zand in de ogen strooien door zaken als een non-logging policy ?
Geen enkele ondernemer zal gerechtelijke bevelen negeren, om jou ter wille te zijn. Hun belang is niet jouw belang. Ongeacht over welke VPN provider je het hebt.
The false non-logging advertisement
https://www.skadligkod.se/vpn/the-5-9-14-eyes-misleading-vpn-argument/
Dit is inderdaad niet heel schokkend, mensen die geen vpn gebruiken zijn er vele malen vaker kwetsbaar voor.
En ze maken het tenminste bekend, ze zijn dus open en eerlijk erover. Wie zegt dat andere vpn diensten niet het zelfde probleem hebben gehad en niks erover hebben gezegd.
En ze maken het tenminste bekend, ze zijn dus open en eerlijk erover. Wie zegt dat andere vpn diensten niet het zelfde probleem hebben gehad en niks erover hebben gezegd.
22-10-2019, 12:00 door
Tha Cleaner
Door Anoniem: Er is (helaas) maar één goede VPN provider en dat is Mullvad, de anderen zijn op zijn minst discutabel als je het complete plaatje bekijkt.
Op basis waarvan?Zie zegt dat ze niet last hebben van het zelfde issue? Of andere problemen hebben?
Op welke feiten baseer je, jouw mening? Feiten zeggen namelijk meer dan zomaar een post van een anoniem.
22-10-2019, 12:18 door
botbot
Door Anoniem: En wij maar denken dat vpn zo veilig is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
En al die reclame voor Nord-vpn hwt laatste jaar.
Langzamerhand heb ik het idee dat het hele Internet met zl zij facetten niet meer te patchen is.
En ik maar denken dat die 10 sloten op mijn deur veilig zijn, als ik ze open laat.
Een computer die niet gehackt kan worden is een computer die niet bestaat. Als je 100% zeker wilt weten dat je internetgebruik niet bespied wordt, dan moet je geen internet gebruiken.
Het is *altijd* een tradeoff. Je kan zelf een VPN gaan opzetten, dan wordt je zelf verantwoordelijk voor het beveiligen van de verbinding, het beheer, het patchen etc. En dan ben je weer afhankelijk van de betrouwbaarheid van bv OpenVPN. Dan kun je zelf een OpenVPN-achtig iets gaan bouwen. Maar aangezien je core business bijvoorbeeld het verkopen van paperclips is heb je daar geen tijd voor (en verstand van). Zo is het altijd.
Dan kun je wel heel tendentieus zeggen: en wij maar denken dat VPN veilig is , maar als je niet denkt dat het veilig genoeg is gebruik je het toch niet? Doe je lekker alles plaintext. Het is altijd een vorm van vertrouwen en ingecalculeerd risico. Dat is altijd zo, overal mee, met alles in het leven.
22-10-2019, 12:21 door
botbot
Door Anoniem: toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
Bij expressvpn ook niet. Je kunt gewoon met bitcoin betalen en hoeft geen persoonlijke info te geven.Blijft boeiend om te zien hoe sommige mensen alles en iedereen wantrouwen maar wel *al* hun internetverkeer volledig in handen geven van partijen waar ze niets van weten.
Tuurlijk, mooie claims op sites als die van Mullvad (die momenteel onbereikbaar is, maar dat terzijde), maar uiteindelijk gaat al jouw Internet verkeer in klare tekst door hun systemen.
En er zijn precies 2 mogelijkheden: ofwel Mullvad is een keurig bedrijf dat zich netjes aan de nationale en internationale regels houdt (en dus keurig logt en informatie deelt met de daartoe gerechtigde instanties). Ofwel Mullvad is in handen van partijen die zich aan de regels proberen te onttrekken, en wie wil daar zaken mee doen?
Tuurlijk, mooie claims op sites als die van Mullvad (die momenteel onbereikbaar is, maar dat terzijde), maar uiteindelijk gaat al jouw Internet verkeer in klare tekst door hun systemen.
En er zijn precies 2 mogelijkheden: ofwel Mullvad is een keurig bedrijf dat zich netjes aan de nationale en internationale regels houdt (en dus keurig logt en informatie deelt met de daartoe gerechtigde instanties). Ofwel Mullvad is in handen van partijen die zich aan de regels proberen te onttrekken, en wie wil daar zaken mee doen?
Door Anoniem:
Je veiligheid, daar moet je verder zelf voor zorgen. Vertrouwen dat een commerciele onderneming dat voor je doet (en daarbij voor je door het vuur gaat, wanneer je illegale handelingen verricht via een VPN), is redelijk lachwekkend.
Je veiligheid, daar moet je verder zelf voor zorgen. Vertrouwen dat een commerciele onderneming dat voor je doet (en daarbij voor je door het vuur gaat, wanneer je illegale handelingen verricht via een VPN), is redelijk lachwekkend.
Dat is ook weer een beetje overdreven. Het is niet lachwekkend dat je een commerciële onderneming, wiens core business, verdienmodel en reputatie 100% afhankelijk is van het veilig houden van data vertrouwd op het feit dat ze het goed doen.
In heel veel gevallen is het veel veiliger dan het zelf beheren. Vertrouw jij met je MKB bedrijfje die ene 15Euro/uur ICT gast die eens per week het netwerk komt onderhouden meer met het opzetten en beheren van de VPN verbinding?
Ga je het zelf doen? Dan zul je toch echt moeten vertrouwen op het feit dat bijvoorbeeld OpenVPN geen bugs heeft. Is ook maar een groepje mensen die fouten kunnen maken hoor. Of ga je zelf je VPN implementatie coden in C?
Daarnaast, hoe ga je zelf zo'n VPN dienst maken als NordVPN/ExpressVPN/etc... Je zult toch een exit node moeten hebben. Als je die zelf in beheer hebt verslaat dat het hele idee van een "anoniem" exit point, zeker als jij de enige bent die die exitnode gebruikt. Als je hem deelt is dat dus identiek aan het geheel uitbesteden aan NordVPN.
Door Anoniem: toch zweer ik bij mulvad, daar weten ze tenminste niet wie ik ben.
Maar ze kennen wel je ip's, de ip's van websites die je bezoekt, en als je hun dns gebruikt dan hebben ze zelfs de domeinen. kortom: als je het echt veilig wil hebben zet je je eigen vpn server op (random ergens op de cloud bijvoorbeeld)
Mullvad dot net, zoals de kraam (de website) zal de dienstverlening ook wel zijn:
https://app.upguard.com/webscan#/mullvad.net'
Kwetsbaar voor MiM aanvallen, vanwege
Aanwezige onveilige SSL/TLS versies
en HSTS header niet geschikt voor preload list inclusie.
Domein kan gehijacked worden
Domain registrar deletion protection not enabled
Domain registrar update protection not enabled
Domain registry deletion protection not enabled
Domain registry transfer protection not enabled
Domain registry update protection not enabled
E mails kunnen frauduleus worden verzonden
SPF not enabled
DMARC not enabled
DOM-XSS zwakte: Resultaten van het scannen van URL: https://mullvad.net/static/js/app.1207585c15e6.js
Aantal sources gevonden: 31
Aantal sinks gevonden: 10
Zie ook: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fmullvad.net%2F
Detecties: https://www.virustotal.com/gui/ip-address/46.166.138.241/relations
Drie kwaadaardige files gevonden door Quttera's: https://quttera.com/detailed_report/mullvad.net (SPAM/SEO content)
Vanwege full WireGuard support (recentelijk even verwijderd geweest uit de Google Webshop wegens overtreding van de Google betalingenbeleid regels). Er is niet een koe zo bont of er is wel een vlekje aan.
J.O.
https://app.upguard.com/webscan#/mullvad.net'
Kwetsbaar voor MiM aanvallen, vanwege
Aanwezige onveilige SSL/TLS versies
en HSTS header niet geschikt voor preload list inclusie.
Domein kan gehijacked worden
Domain registrar deletion protection not enabled
Domain registrar update protection not enabled
Domain registry deletion protection not enabled
Domain registry transfer protection not enabled
Domain registry update protection not enabled
E mails kunnen frauduleus worden verzonden
SPF not enabled
DMARC not enabled
DOM-XSS zwakte: Resultaten van het scannen van URL: https://mullvad.net/static/js/app.1207585c15e6.js
Aantal sources gevonden: 31
Aantal sinks gevonden: 10
Zie ook: https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fmullvad.net%2F
Detecties: https://www.virustotal.com/gui/ip-address/46.166.138.241/relations
Drie kwaadaardige files gevonden door Quttera's: https://quttera.com/detailed_report/mullvad.net (SPAM/SEO content)
Vanwege full WireGuard support (recentelijk even verwijderd geweest uit de Google Webshop wegens overtreding van de Google betalingenbeleid regels). Er is niet een koe zo bont of er is wel een vlekje aan.
J.O.
VPN's zijn in de meeste gevallen totaal onnodig/overbodig.
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
Door Anoniem: VPN's zijn in de meeste gevallen totaal onnodig/overbodig.
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
Gebruik een VPN als je met potentieel onbetrouwbare openbare WiFi-netwerken verbindt.
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
Public networks
If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.
Public networks
If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.
23-10-2019, 09:31 door
SPer
Door Daemon:
Gebruik een VPN als je met potentieel onbetrouwbare openbare WiFi-netwerken verbindt.
Door Anoniem: VPN's zijn in de meeste gevallen totaal onnodig/overbodig.
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
https://schub.io/blog/2019/04/08/very-precarious-narrative.html
Gebruik een VPN als je met potentieel onbetrouwbare openbare WiFi-netwerken verbindt.
hxxps://schub.io/blog/2019/04/08/very-precarious-narrative.html
Public networks
If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.
Public networks
If you are using your device on a public network, VPNs can help you protect your data. Good examples for such networks are the WiFi networks that do not require a passphrase to connect, for example on Airports, in Cafes, or public buildings. Networks like these make it easy for attackers to get a copy of your network data, and if you send something unencrypted, the results can be quite harmful. Although data is encrypted when you are using HTTPS, and while the same mechanisms should protect you against most attacks, there is always a little risk left that some application you use is using unencrypted data transfer for whatever reason. When it is as easy for other people to sniff your network traffic as it is in a public WiFi, using a VPN is just one less thing to worry about. VPN clients sometimes also have a nice side effect of temporarily disabling file sharing and similar features in your operating system, which is a good thing in public networks.
Ik ben hogelijk verrast door het feit dat men hier en daar clickable links op dit forum plaatst.
Ik benieuwd of mensen vertrouwen op security.nl en doodleuk op een link klikken ......
Verbeter de wereld , begin bij jezelf .
Door SPer: Ik ben hogelijk verrast door het feit dat men hier en daar clickable links op dit forum plaatst.
Ik benieuwd of mensen vertrouwen op security.nl en doodleuk op een link klikken ......
Verbeter de wereld , begin bij jezelf .
Ik benieuwd of mensen vertrouwen op security.nl en doodleuk op een link klikken ......
Verbeter de wereld , begin bij jezelf .
Doe niet zo raar! Als je systeem er niet tegen kan dat je op een link klinkt dan kan je beter helemaal niet op internet gaan. Als het een shortened link zou zijn dan kan ik me nog voorstellen dat je bedenkingen hebt maar bij een volledige link is het nogal overdreven, zelfs paranoïde te noemen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.