黑客入侵了流行的虚拟网络提供商NordVPN使用的服务器，窃取了加密密钥，这些密钥可用于对其客户群的某些部分进行解密攻击。

 

攻击中使用的命令日志表明，黑客拥有root权限，这意味着他们几乎不受约束地控制着服务器，可以读取或修改存储在服务器上的任何数据。三个被泄露的私钥中的一个被用来保护一个数字证书，该证书为nordvpn.com提供了HTTPS加密。该密钥直到2018年10月才到期，大约是在2018年3月被攻破的七个月之后。攻击者本可以利用泄露的证书冒充nordvpn.com网站，或者对访问真实网站的人发起中间人攻击。至少从2018年5月起，有关黑客入侵的细节就在网上流传。

 

根据命令日志，另一个泄漏的密钥似乎保护了一个私有证书颁发机构，沐鸣开户测速Q554258NordVPN使用该机构颁发数字证书。这些证书可能颁发给NordVPN网络中的其他服务器，或用于其他各种敏感用途。第三个证书的名称表明，它也可能被用于许多不同的敏感用途，包括保护被破坏的服务器。

 

有证据显示，TorGuard和VikingVPN这两家竞争对手也曾遭遇泄露加密密钥的攻击。TorGuard在一份声明中表示，*.torguardvpnaccess.com的传输层安全证书的密钥被盗。这起盗窃发生在2017年的一次服务器入侵中。被盗的数据与squid代理证书有关。

 

TorGuard官员在Twitter上表示，私人密钥不在受影响的服务器上，攻击者“对这些密钥无能为力”。周一的声明还说，TorGuard直到2018年初才移除被入侵的服务器。TorGuard还表示，去年5月获悉VPN遭到入侵，"在相关进展中，我们对NordVPN提起了法律诉讼。"

 

VikingVPN的官员还没有对此发表评论。

 

严重关切

 

一位公司发言人告诉我，其中一把钥匙于2018年12月31日到期，另一把于同年7月10日入葬。她没有说这些钥匙的用途。一种名为“完全正向保密”的密码学特性确保了攻击者无法通过捕获在互联网上传输的加密数据包来解密通信。然而，这些密钥仍可能被用于主动攻击，即黑客利用自己服务器上泄露的密钥截获和解密数据。

 

目前还不清楚攻击者在服务器上停留了多长时间，也不清楚他们是否能够利用他们的高度特权访问进行其他严重的攻击。安全专家表示，服务器妥协的严重程度——再加上密钥被盗以及nordvpn缺乏细节——引发了严重担忧。

 

以下是安全公司Trail of Bits的首席执行官丹·圭多(Dan Guido)告诉我的一些事情:

 

被破解的主机密，比如那些从NordVPN偷来的，可以用来解密密钥重新协商之间的窗口，并冒充它们为其他人服务……我不关心泄露了什么，我只关心访问它的权限。我们不知道发生了什么，什么进一步的访问，或者可能发生了什么虐待。一旦您能够访问这些类型的主机密和根服务器访问，就会有很多可能性。

 

不安全的远程管理

 

在一份发给记者的声明中，NordVPN官员称袭击造成的损失有限。

 

服务器本身不包含任何用户活动日志…我们的应用程序都不会发送用户创建的凭据进行身份验证，因此用户名和密码也不会被截获。2018年3月5日，安全研究人员在互联网上发现的确切配置文件不复存在。这是一个孤立的情况，我们使用的其他数据中心提供者没有受到影响。

 

这次入侵是黑客利用一个不安全的远程管理系统造成的，该系统安装在NordVPN服务器上，由芬兰数据中心的管理员安装。声明称，这家未具名的数据中心安装了易受攻击的管理系统，但从未向NordVPN披露。几个月后，远程管理系统曝光后，NordVPN终止了与数据中心的合同。

 

NordVPN于周日首次向记者披露了这一漏洞，此前类似的第三方报道出现在Twitter上。声明说，虽然NordVPN确保其网络的其他部分不会受到类似攻击的影响，但该公司没有向客户披露此事。