Um cibercriminoso anunciou uma suposta invasão ao NordVPN, provedor de uma das redes virtuais privadas mais conhecidas da web. Segundo a publicação, mais de 10 bases de dados com informações confidenciais teriam sido vazadas.
Sob o usuário 1011, o criminoso afirmou que, entre as informações, estavam chaves de API da Salesforce e tokens Jira, um software de gerenciamento de projetos e tarefas.
De acordo com 1011, o roubo foi possível por meio de um ataque de força bruta contra um servidor de desenvolvimento da empresa de VPN, que teria sido mal configurado. O criminoso publicou amostras de dados no fórum e deixou todas as informações disponíveis para download.
NordVPN nega vazamento de dados reais
A NordVPN avaliou os dados e seus sistemas internos e veio a público alertar que as informações roubadas não são provenientes de nenhum ambiente interno — nem da Salesforce.
Na verdade, a empresa afirmou que, há seis meses, fez uma avaliação para a contratação de uma plataforma e criou um ambiente temporário para testar as funcionalidades da plataforma.
Esse ambiente não estava ligado aos dados genuínos da NordVPN, e abrigava apenas informações de teste – ou seja, "falsas" e sem relevância.
“Os elementos vazados, como tabelas API específicas e esquemas de banco de dados, podem ser apenas artefatos de um ambiente de teste isolado de terceiros, contendo apenas dados fictícios usados para verificações de funcionalidade," explicou a empresa. "Embora nenhum dado no dump aponte para a NordVPN, entramos em contato com o fornecedor para obter informações adicionais”, concluiu no comunicado.
Histórico de incidentes acende alerta
O pânico vem do histórico, tanto da NordVPN quanto da Salesforce. Nesse caso, o vazamento não foi real, mas em 2019, servidores da NordVPN e TorGuard foram hackeados, resultando no roubo e vazamento de chaves privadas associadas aos certificados de seus sites e arquivos de configuração VPN.
O ataque à NordVPN foi descoberto quando um pesquisador de segurança identificou que as chaves privadas dos certificados do site foram vazadas publicamente na internet. Embora o certificado já estivesse expirado, ele poderia ter sido usado anteriormente para criar sites falsos convincentes que se passariam pela NordVPN ou para realizar ataques de interceptação de comunicações criptografadas (man-in-the-middle).
Além da NordVPN, servidores da TorGuard e possivelmente da VikingVPN também foram comprometidos, com hackers alegando ter obtido acesso root completo aos sistemas. Isso permitiu o roubo de chaves OpenVPN e arquivos de configuração sensíveis.
Em comunicado oficial, a NordVPN afirmou que o ataque ocorreu em março de 2018 através de uma ferramenta de gerenciamento remoto insegura deixada pelo datacenter na Finlândia, sem o conhecimento da empresa.
A companhia garantiu que o incidente foi isolado, que nenhum log de atividade de usuários estava armazenado no servidor comprometido, e que nenhum tráfego VPN poderia ter sido descriptografado, contrariando alegações iniciais de pesquisadores de segurança.
Vulnerabilidades recentes da Salesforce
Em outubro do ano passado, uma falha de segurança crítica no sistema Agentforce da Salesforce permitiu que informações confidenciais de clientes fossem expostas. Na ocasião, por meio de ataques de injeção indireta de prompt, conforme revelou a Noma Security.
Batizada de "ForcedLeak", a vulnerabilidade demonstrou como ferramentas de negócios integradas a soluções de inteligência artificial sem supervisão humana podiam ser exploradas para coleta indevida de dados.
Cibercriminosos conseguiam manipular os agentes de IA da plataforma inserindo instruções maliciosas escondidas em formulários Web-to-Lead, fazendo com que o sistema processasse esses comandos sem os distinguir de solicitações legítimas.
Em testes, pesquisadores conseguiram fazer a IA enviar endereços de email de clientes para um servidor externo, confirmando que seria possível extrair contratos, relatórios de vendas, estratégias de negócios e comunicações internas.
A exploração envolvia ainda o uso de um domínio considerado "confiável" pela Salesforce que estava expirado e à venda por apenas US$ 5. Após ser alertada sobre a falha, a Salesforce implementou correções no início de setembro, incluindo patches que impediam o envio de dados pelos agentes de IA para endereços não confiáveis.
Paralelamente, a empresa enfrentou outro incidente de segurança envolvendo o grupo hacker ShinyHunters, que ameaçou publicar grandes volumes de dados roubados de clientes importantes como Google, Adidas, Allianz Life e Palo Alto Networks.
Em comunicado, a Salesforce informou que não pagaria o resgate exigido pelos criminosos e recebeu "inteligência de ameaças credível" indicando que o grupo planejava compartilhar as informações roubadas durante o incidente anterior.
Riscos potenciais de um vazamento real
O vazamento de chaves de API da Salesforce e tokens do Jira representava riscos indiretos, mas significativos, para os clientes da NordVPN.
Com acesso a essas credenciais corporativas, cibercriminosos poderiam ter invadido os sistemas de gestão de relacionamento com clientes (CRM) da empresa, onde frequentemente ficam armazenados dados pessoais como nomes, endereços de email, informações de pagamento e históricos de interação com o suporte técnico.
Os tokens do Jira, por sua vez, poderiam ter permitido aos invasores acesso à documentação interna, estratégias de desenvolvimento e até mesmo falhas de segurança conhecidas que ainda não haviam sido corrigidas, criando oportunidades para ataques mais sofisticados.
Embora as credenciais de acesso direto às VPNs dos usuários não estivessem diretamente comprometidas neste ataque específico, o acesso aos sistemas corporativos poderia ter servido como porta de entrada para campanhas de phishing direcionadas ou para a exploração de vulnerabilidades não documentadas publicamente, colocando a privacidade e segurança dos milhões de usuários da plataforma em potencial risco.
Quer saber mais sobre esse assunto? Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.