Bir hacker, 1011 takma adıyla, bir NordVPN geliştirme sunucusuna eriştiğini iddia ederek, BreachForums'da veritabanı dökümleri ve yapılandırma örnekleri paylaştı. Sızıntı, nordvpn.com SalesForce - leaked, Download! başlığı altında paylaşıldı ve erişimin yanlış yapılandırılmış bir sistemin brute-force saldırısıyla elde edildiği iddia edildi.
Paylaşımda, aktörün Salesforce API anahtarları, Jira tokenları ve ondan fazla veritabanından kaynak kodu olarak tanımladığı belgeler yer aldı. Hacker tarafından paylaşılan bir ekran görüntüsü, veri yapısı ve alan adlarını göstererek bunun bir geliştirme ortamına ait olabileceğini öne sürdü; ancak ekran görüntüsünde NordVPN ile doğrudan bağlantı kuran bir şey yoktu, bu sadece hackerın etiketine dayanıyordu.
NordVPN'in Yanıtı
NordVPN, iç sistemlerinin ihlal edilmediğini belirterek hızlı bir yanıt verdi. Aynı gün yayınlanan bir blog yazısında, şirket iddialara doğrudan yanıt verdi ve sızıntının ne içerdiğine dair kendi görüşlerini açıkladı.
NordVPN'e göre, dosyalar altı ay önce üçüncü taraf bir platformun değerlendirilmesi sırasında kurulan bir test ortamından gelmektedir. Deneme süreci kısa sürdü, hiçbir sözleşme imzalanmadı ve süreç boyunca üretim sistemlerine bağlanılmadı. Şirket, bu satıcıyla hiçbir hassas müşteri bilgisi, gerçek API anahtarları veya iç kaynak kodu paylaşılmadığını net bir şekilde belirtti.
Bloglarında, sızıntıda gösterilen ortamın aktif Salesforce altyapılarının bir parçası olmadığını vurguladılar. Bunun yerine, otomatik test araçlarını değerlendirmek için kısa süreliğine kullanılan izole bir kum havuzu olduğu belirtildi. NordVPN, söz konusu verilerin yalnızca sahte içerik içerdiğini ve hiçbir canlı hizmette kullanılmadığını ifade etti.
Hacker, gönderiyi NordVPN'in ana sistemlerini içeren ciddi bir ihlal olarak çerçevelese de, şirket bu bağlantıyı tamamen reddediyor. Verilerin, uzun süredir sona ermiş olan bir deneme süreci sırasında geçici olarak kullanılan bir üçüncü taraf sistemden geldiğinden eminler. Ayrıca, daha fazla netlik için o satıcıyla iletişime geçtiler.
Bu noktada, hacker tarafından paylaşılan örnekler ile NordVPN'in herhangi bir üretim ortamı arasında doğrulanabilir bir bağlantı yok. Şirket durumu izlemeye devam ediyor ve müşteri eylemine ihtiyaç olmadığını belirtiyor.
