- Aktor ancaman yang dikenal sebagai “1011” mengklaim telah membobol server pengembangan NordVPN
- NordVPN menyangkal sistemnya telah disusupi, dan menyatakan bahwa data yang bocor adalah milik akun uji coba pihak ketiga
- Tidak ada kredensial pengguna, detail penagihan, atau log penjelajahan yang terlibat dalam dugaan dump tersebut
NordVPN, secara luas dianggap sebagai VPN terbaik di pasar untuk pengguna yang sadar privasi, dengan tegas membantah tuduhan bahwa database internal Salesforce telah dilanggar. Penolakan ini muncul sebagai tanggapan terhadap laporan yang beredar di forum web gelap di mana pelaku ancaman mengaku telah mengakses alat pengembangan sensitif.
Insiden ini dimulai ketika seorang pengguna yang beroperasi dengan nama samaran “1011” memposting di forum kejahatan dunia maya, menuduh bahwa mereka telah berhasil melakukan brute-force pada server pengembangan yang salah dikonfigurasi.
Aktor tersebut mengklaim bahwa akses ini memungkinkan mereka untuk mengekstrak kode sumber, token Jira, dan kunci API Salesforce yang diduga milik NordVPN. Postingan tersebut menyertakan contoh dump SQL dan tangkapan layar yang dimaksudkan untuk memverifikasi intrusi.
Menurut pernyataan penyerang, lingkungan yang disusupi digunakan untuk tujuan pengujian dan pengembangan internal, bukan sistem produksi, meskipun mereka berpendapat bahwa lingkungan tersebut berisi data yang dapat memfasilitasi akses yang lebih luas.
Klaim tersebut dengan cepat mendapatkan perhatian di forum-forum bawah tanah dan media sosial, sehingga memicu spekulasi tentang keaslian dan potensi dampak dari pelanggaran tersebut.
Peneliti keamanan mulai menganalisis materi yang dibagikan untuk menentukan keabsahannya, sementara NordVPN memulai penyelidikan internal untuk menilai apakah ada sistem atau data pelanggan yang terpengaruh.
Namun, NordVPN telah bergerak cepat untuk meredam rumor tersebut. Di sebuah postingan blog dirilis tak lama setelah klaim tersebut muncul, perusahaan menyatakan bahwa lingkungan internal Salesforce tidak terpengaruh.
Sebaliknya, penyelidikan awal NordVPN menunjukkan bahwa file konfigurasi yang bocor tersebut terkait dengan platform pihak ketiga yang sempat digunakan perusahaan untuk akun uji coba.
“Kami segera mulai memverifikasi klaim ini,” jelas juru bicara NordVPN dalam pernyataannya. “Tim keamanan kami telah menyelesaikan analisis forensik awal… dan kami dapat mengonfirmasi bahwa, pada tahap ini, tidak ada tanda-tanda bahwa server NordVPN atau infrastruktur produksi internal telah disusupi.”
Perusahaan menekankan bahwa data yang dipermasalahkan tidak berasal dari sistem internal inti NordVPN. Perbedaan ini sangat penting bagi pengguna yang khawatir tentang integritas kebijakan tanpa pencatatan yang ketat dari layanan tersebut.
Apakah data Anda aman?
Bagi rata-rata pengguna, kesimpulan yang paling penting adalah bahwa dugaan insiden ini melibatkan alat pengembangan back-end, bukan terowongan VPN yang membawa lalu lintas internet Anda.
Meskipun klaim peretas mengenai server pengembangan itu akurat, tidak ada bukti yang menunjukkan bahwa nama pengguna, kata sandi, atau informasi penagihan telah diakses.
Daftar pelaku ancaman itu sendiri menentukan “data pengembangan dan Tenaga Penjualan internal”, bukan basis data pelanggan. Selain itu, infrastruktur NordVPN dirancang hanya untuk RAM (tanpa disk), yang berarti log aktivitas pengguna tidak disimpan di hard drive yang dapat terhapus jika terjadi pelanggaran.
Dugaan kebocoran tersebut tidak melibatkan data pribadi pengguna apa pun, termasuk alamat email, kata sandi, alamat IP, log, atau data keuangan, menurut laporan oleh Berita Cyber.
Meskipun kehadiran “server yang salah dikonfigurasi”, meskipun itu adalah lingkungan uji coba pihak ketiga, merupakan pengingat akan kewaspadaan yang diperlukan dalam keamanan siber, tampaknya lingkungan produksi NordVPN tetap aman. Perusahaan telah menyatakan bahwa mereka melanjutkan penyelidikannya untuk memastikan “kepastian mutlak” mengenai cakupan dump data.
Seperti biasa, meskipun insiden khusus ini tampaknya tidak memerlukan perubahan kata sandi, kami menyarankan pengguna menggunakan kata sandi yang kuat dan unik serta mengaktifkan autentikasi multi-faktor (MFA) pada semua akun sensitif sebagai tindakan keamanan standar.
Praktik-praktik ini secara signifikan mengurangi risiko akses tidak sah, bahkan jika kredensial disusupi melalui pelanggaran yang tidak terkait atau upaya phishing.
Pengguna juga harus tetap waspada terhadap aktivitas akun yang tidak biasa, menghindari penggunaan ulang kata sandi di berbagai platform, dan mempertimbangkan untuk menggunakan pengelola kata sandi yang memiliki reputasi baik untuk menyimpan dan membuat kata sandi yang rumit dengan aman. Mempertahankan kebiasaan ini adalah salah satu cara paling efektif untuk menjaga data pribadi dan organisasi.
