Nouvelle bataille de communication dans l’écosystème cyber.

Depuis quelques jours, un hacker agissant sous le pseudonyme 1011 prétend avoir exfiltré des données sensibles appartenant à NordVPN, géant des fournisseurs de réseaux privés virtuels.

Sur un célèbre forum du dark web, l’individu a publié ce qu’il présente comme une fuite issue des serveurs de développement de l’entreprise. Le pirate affirme avoir compromis une base Salesforce, contenant selon lui plus d’une dizaine de bases de code source, des clés API, des tokens Jira et « d’autres données sensibles ».

Il soutient avoir accédé à ces informations en réalisant une attaque par force brute sur un serveur de développement mal configuré, hébergé par la société basée au Panama. Des extraits de bases de données SQL publiés en ligne montrent notamment des structures de tables, nommées salesforce_api_step_details et api_keys.

L’affaire a rapidement pris de l’ampleur, plusieurs sites spécialisés ayant relayé la revendication. De son côté, NordVPN dément catégoriquement toute intrusion dans ses systèmes et assure qu’aucune donnée sensible n’a été compromise.

NordVPN assure que les données ne proviennent pas d’une fuite interne

Contactée par nos soins, l’entreprise affirme que ces accusations sont « fausses » et qu’aucun serveur interne n’a été compromis. « Notre équipe de sécurité a effectué une analyse forensique initiale de la prétendue fuite de données, et nous pouvons confirmer qu’à ce stade, il n’y a aucun signe que les serveurs de NordVPN ou l’infrastructure de production interne aient été compromis. »

NordVPN indique avoir immédiatement ouvert une enquête dès la publication des allégations.

Selon ses premières conclusions, les fichiers divulgués ne proviennent pas de l’environnement Salesforce interne, mais d’une plateforme tierce avec laquelle la société aurait uniquement eu « un compte d’essai » temporaire.

NordVPN évoque un acteur tiers

Dans son article de blog publié en marge de l’affaire, NordVPN apporte sa version des faits et tente d’expliquer l’origine des données présentées par le hacker.

L’entreprise affirme que les fichiers en question proviendraient d’un environnement de test mis en place il y a environ six mois, dans le cadre de l’évaluation d’un fournisseur potentiel pour des tests automatisés.

Selon NordVPN, il s’agissait d’une simple phase de preuve de concept (PoC) : un environnement temporaire avait été créé pour examiner les fonctionnalités du prestataire, sans qu’aucune donnée réelle ne soit utilisée.

Aucun code de production, aucune donnée client ni information d’identification active n’auraient été transférés sur cette plateforme.

L’entreprise précise enfin que ce fournisseur n’a jamais été retenu et que l’environnement de test n’a jamais été relié à ses systèmes de production.