Chez NordVPN, on explique qu'un des serveurs a été piraté en mars 2018. Il s'agit en l'occurrence d'un serveur installé dans un centre de données finnois. Il en résulta une exposition du comportement de navigation des clients utilisant le service VPN, afin de maintenir leurs données privées. L'entreprise minimalise toutefois les dommages et indique que lors du piratage, aucun historique, nom d'utilisateur ou mot de passe n'a été dérobé.

"Les agresseurs potentiels n'ont pu accéder qu'à ce serveur et pendant leur intrusion, ils n'ont pu voir que le trafic et les sites web visités par les utilisateurs concernés, et pas le contenu de ces sites. Le piratage n'a duré que brièvement et uniquement dans cette région", déclare Tom Okman, du comité-conseil de NordVPN, au site technologique The Verge. Les agresseurs auraient donc été à même de contrôler le trafic (http) non sécurisé des utilisateurs, conjointement avec des résolutions DNS. NordVPN ne tient pas à jour des historiques du comportement de navigation et signale que des mots de passe et des login ne sont pas non plus envoyés avec le trafic transitant par le serveur en question.

Ce dernier a été vulnérable entre le 31 janvier et le 20 mars 2018. Selon NordVPN, il ne fut cependant invoqué que brièvement en mars par des personnes indésirables. Une clé de cryptage aurait alors été volée, laquelle a entre-temps expiré. Toujours selon NordVPN, elle aurait pu être utilisée dans ce qu'on appelle une attaque de l'homme du milieu ('man-in-the-middle'), par laquelle les agresseurs pouvaient se faire passer pour NordVPN en vue de dérober des mots de passe et des noms d'utilisateur. Et NordVPN d'ajouter que ce genre d'attaque est 'personnalisé et complexe'.

La cause du problème réside dans une faille au sein du système de gestion à distance, qui aurait donné aux pirates accès au serveur. NordVPN renvoie la responsabilité de l'intrusion à la firme d'hébergement avec qui elle a entre-temps rompu tout lien. Le site technologique The Register a aussitôt appelé Creanova, le centre de données hébergeant le serveur en question. Niko Viskar, le directeur de ce centre, a répondu au site technologique que l'intrusion était due au contraire à NordVPN, qui n'avait pas bien paramétré son outil de gestion à distance. "Je peux confirmer que NordVPN était client chez nous", a ajouté Viskari. "La firme avait un problème au niveau de sa sécurité du fait qu'elle n'était tout simplement pas en ordre."

NordVPN est l'un des plus importants fournisseurs de services VPN avec quelque 12 millions de clients. Le serveur hébergé en Finlande aurait été utilisé par quelque 200 personnes durant sa période de vulnérabilité.