In 2017 is een aanvaller erin geslaagd om een server van proxy- en vpn-provider TorGuard te compromitteren, zo heeft het bedrijf bevestigd. De bekendmaking volgt na een bericht van vpn-provider NordVPN dat ook met een gecompromitteerde server te maken kreeg.
Volgens TorGuard werd de server in september 2017 gecompromitteerd. Een gebruiker op het 8chan-forum claimde toen toegang te hebben tot servers van TorGuard, NordVPN en VikingVPN. "TorGuard was de enige die PKI-management toepaste, wat inhoudt dat onze primaire certificaatautoriteitsleutel niet op de getroffen vpn-server aanwezig was", aldus de vpn-provider.
TorGuard stelt dat het pas in mei 2019 achter de aanval kwam. De gecompromitteerde server was echter al begin 2018 uit het eigen netwerk verwijderd. Het contract met de betreffende hosting reseller is sindsdien vanwege "herhaaldelijke verdachte activiteiten" opgezegd. Wie deze partij is wil TorGuard niet zeggen. Vanwege een lopende rechtszaak kan de vpn-provider geen verdere details over de specifieke reseller geven of hoe de aanvaller ongeautoriseerde toegang verkreeg.
Wel stelt TorGuard dat de server niet op externe wijze is gecompromitteerd en er geen risico was voor andere TorGuard-servers en -gebruikers. Op de gecompromitteerde server bevond zich een tls-certificaat voor *.torguardvpnaccess.com. Dit certificaat was sinds 2017 niet meer in gebruik en ook niet geldig op het TorGuard-proxynetwerk. Na de ontdekking in mei had TorGuard al besloten om alle certificaten opnieuw uit te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.