Nouvelle bataille de communication dans l’écosystème cyber.
Depuis quelques jours, un hacker agissant sous le pseudonyme 1011 prétend avoir exfiltré des données sensibles appartenant à NordVPN, géant des fournisseurs de réseaux privés virtuels.
Sur un célèbre forum du dark web, l’individu a publié ce qu’il présente comme une fuite issue des serveurs de développement de l’entreprise. Le pirate affirme avoir compromis une base Salesforce, contenant selon lui plus d’une dizaine de bases de code source, des clés API, des tokens Jira et « d’autres données sensibles ».
Il soutient avoir accédé à ces informations en réalisant une attaque par force brute sur un serveur de développement mal configuré, hébergé par la société basée au Panama. Des extraits de bases de données SQL publiés en ligne montrent notamment des structures de tables, nommées salesforce_api_step_details et api_keys.
L’affaire a rapidement pris de l’ampleur, plusieurs sites spécialisés ayant relayé la revendication. De son côté, NordVPN dément catégoriquement toute intrusion dans ses systèmes et assure qu’aucune donnée sensible n’a été compromise.
NordVPN assure que les données ne proviennent pas d’une fuite interne
Contactée par nos soins, l’entreprise affirme que ces accusations sont « fausses » et qu’aucun serveur interne n’a été compromis. « Notre équipe de sécurité a effectué une analyse forensique initiale de la prétendue fuite de données, et nous pouvons confirmer qu’à ce stade, il n’y a aucun signe que les serveurs de NordVPN ou l’infrastructure de production interne aient été compromis. »
NordVPN indique avoir immédiatement ouvert une enquête dès la publication des allégations.
Selon ses premières conclusions, les fichiers divulgués ne proviennent pas de l’environnement Salesforce interne, mais d’une plateforme tierce avec laquelle la société aurait uniquement eu « un compte d’essai » temporaire.
NordVPN évoque un acteur tiers
Dans son article de blog publié en marge de l’affaire, NordVPN apporte sa version des faits et tente d’expliquer l’origine des données présentées par le hacker.
L’entreprise affirme que les fichiers en question proviendraient d’un environnement de test mis en place il y a environ six mois, dans le cadre de l’évaluation d’un fournisseur potentiel pour des tests automatisés.
Selon NordVPN, il s’agissait d’une simple phase de preuve de concept (PoC) : un environnement temporaire avait été créé pour examiner les fonctionnalités du prestataire, sans qu’aucune donnée réelle ne soit utilisée.
Aucun code de production, aucune donnée client ni information d’identification active n’auraient été transférés sur cette plateforme.
L’entreprise précise enfin que ce fournisseur n’a jamais été retenu et que l’environnement de test n’a jamais été relié à ses systèmes de production.
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !