Pozew sądowy za znalezienie luki w TorGuard

Pracownicy firmy Tefincon, która odpowiada za NordVPN, znaleźli w Internecie plik konfiguracyjny konkurencyjnego produktu, czyli TorGuard. Jak napisano na blogu:

The file revealed how the TorGuard service was configured, displayed private keys, and contained a bunch of other infrastructural IP addresses, including the IPs of their authentication servers and similar assets.

Czyli publicznie dostępne były adresy IP infrastruktury TorGuard (ponad 3000 serwerów w ponad 50 państwach — dane z ich strony), klucze prywatne oraz adresy serwerów uwierzytelniających. Sporo ważnych danych, dlatego niejeden przestępca mógłby się ucieszyć. Możliwe, że tak się nie stanie, ponieważ zakładamy usunięcie pliku / zabezpieczenie serwera (według NordVPN był on dla każdego otwarty; wystarczyło wpisać adres w pasek przeglądarki).

Firma z Panamy po wykryciu ogólnodostępnego serwera (być może korzystając z narzędzi typu Shodan czy Zoomeye) zgłosiła ten fakt dyrektorowi ds. technicznych, który dołączył do konwersacji za pośrednictwem poczty elektronicznej dyrektora generalnego TorGuard. Z uwagi na powagę odkrycia, NordVPN zasugerował przejście na platformę komunikacji korzystającej z szyfrowania end-to-end. Po wyrażeniu zgody, szczegóły zostały przedstawione.

Czytając wpis na blogu, dowiadujemy się przy okazji, że NordVPN był nieuczciwie atakowany przez amerykańską konkurencję. Lider usług VPN wyjaśnił o istnieniu możliwości podjęcia kroków prawnych. Dodał także, że NordVPN nie oczekuje „nagrody” za odkrycie błędu. Prawdopodobnie na tym zakończyła się rozmowa.

We hoped that after providing this vital assistance towards securing TorGuard’s infrastructure, they would also cease with their illegal defamation campaign. We informed them of our desire to set aside past differences and also of our right to take legal action if they persisted in attacking us

27 maja NordVPN dowiedział się, że do sądu został wniesiony pozew przeciwko nim i kanadyjskiej firmie projektującej strony internetowe. Powód oskarżenia grafików z Kanady? Włamania na serwery, atak DDoS oraz fizyczne zastraszanie… NordVPN jest pewny, że oskarżenia nie są prawdziwe, dlatego złożył pozew ze względu na zniesławienie.

19 czerwca sąd w Orlando oddalił sprawę przeciwko NordVPN, jednak to nie oznacza to całkowitego zakończenia, ponieważ:

(…) the case can be brought again if TorGuard is willing to continue its unfounded assaults

–mg