入侵后，你还应该信任你的VPN吗?

每隔一段时间，我就会休息一下残酷对待政府官员而且脸谱网回答读者的问题。本周，在贪污指控和荒谬的公关宣传活动中，我发现了一条来自NordVPN用户Ann的信息。Ann读到了最近NordVPN被入侵的消息，并表达了对该VPN提供商的担忧。为简洁起见，安的信经过了编辑:

我现在订阅了NordVPN。我在想我是否应该继续订阅他们的订阅。我从未收到他们的电子邮件或短信，告诉我他们的系统被黑了。你的文章是我第一次听说他们入侵的消息。这是令人不安的。

我写过NordVPN违反但要点是:2018年，有人在芬兰NordVPN租用的VPN服务器上使用远程访问工具访问了该服务器。NordVPN表示，该工具是由管理服务器的公司安装的，而NordVPN并不知情。一旦发现漏洞，NordVPN就更换了服务器供应商，但没有通知公众，直到漏洞成为Twitter上的热门话题。在漏洞被发现之前，NordVPN表示，攻击者能够访问该公司的TLS密钥。这可以用于中间人攻击，但需要攻击者的大量工作。TorGuard也有一个服务器被攻破，但该公司表示不存在这些安全问题。

VPN是如何工作的

利害攸关的是什么

NordVPN事件威胁到了两样东西:实际数据和用户的信任。

首先是此次入侵导致的数据实际暴露。据我所知，一个坚定的攻击者可以看到通过受影响的服务器的流量。如果发生了这种情况，攻击者将无法将流量归因于特定的人。攻击者对用户活动的了解也很有限。只要受影响的用户访问HTTPS网站，攻击者就只能看到访问的域名，除此之外什么也看不到。这是看到某人访问PCMag.com和PCMag.com/securitywatch的区别。

攻击者还可以使用被盗的TLS密钥创建假的NordVPN url。这很重要，原因有很多，尤其是因为该公司所有服务器的URL中都有“NordVPN.com”。有了这个密钥，攻击者就可以创建一个看起来像普通VPN服务器的服务器，但实际上可以让攻击者监视用户活动。如果攻击者可以欺骗受害者安装NordVPN应用程序的恶意版本，假服务器就可能暴露受害者的流量。但这是一个很高的标准，除非安(和其他像她一样的用户)有黑客针对她个人，她可能没有什么需要担心的事件。

对于大多数用户来说，真正的问题是他们对NordVPN的信任受到了损害。如果存在这些问题，还有什么问题?TorGuard说它使用了一种不同的方法，并且它的密钥在攻击期间保持安全——为什么NordVPN不像TorGuard那样做呢?对于他们需要信任的服务，任何人都不应该问这些问题。

这次事件也暴露了第三方承包商在VPN经济中所处的微妙地位。为了在世界各地运营服务器，VPN公司要么租用，要么购买别人运营的数据中心的服务器。NordVPN说，是数据中心运营商在不知情的情况下在服务器上安装了远程访问工具。即使这种说法被证明是有缺陷的，但事实仍然是VPN公司不一定能完全控制其网络中的服务器。

NordVPN也等了很长时间才披露泄露。在她的信中，安提到她从未收到过NordVPN的消息，她并不是唯一一个这样做的人。直到2019年10月，NordVPN才披露了这一漏洞，尽管他们已经知道此事一年多了。

它也是直到后泄露的消息在推特上传开了。该公司表示，保持沉默是为了确保其他服务器的安全。我不知道调查5200台服务器需要多长时间，但一年似乎是一段很长的时间。

我不禁怀疑，如果没有公众的哗然，NordVPN是否会对泄密事件发表任何言论。NordVPN等了这么久才披露漏洞，失去了透明度的机会，而我们除了他们承诺最终会披露信息外，什么都没有。

由于TorGuard向其服务器披露了漏洞，这就更加令人不安了在它被发现的第二天．当然，这两家公司之间的情况并不完全相同——torguard的服务器数量比NordVPN少，并表示其TLS密钥从未暴露。尽管如此，我们还是很难不对这些回应进行比较。

我们的编辑推荐

NordVPN和TorGuard VPN漏洞:你需要知道的

NordVPN通过审计和Bug赏金计划加强安全

VPN安全审计真正证明了什么?

信任的问题

“消费技术”中的“技术”部分会让人觉得只有冷静、理性的事实才值得考虑。但事实远非如此。我们可以比较三星Galaxy和iPhone的数据，但同样重要的是使用它们的感觉。无形的东西和CPU速度一样重要，因为这才是我们真正关注的。

安全也是如此。就像法定货币或者说是代议制民主，安全软件既依赖于信念，也依赖于内部机制。如果你没有相信你的反病毒软件或VPN在保护你，这有什么用?不管你承认与否，你花钱买的一部分是内心的平静。

信心和信任是公司用任何聪明的安全工具都无法创造出来的东西。它们是通过行动赢得的，而往往是由于不作为而失去的。类似于电脑被黑或家庭被抢的经历，NordVPN的漏洞会让客户感到被背叛或无力。这是一个合理的回应，如果你觉得公司没有做足够的努力来打消你的疑虑，取消订阅也是一个合理的决定。

NordVPN可以提供很多服务，多年来一直是该行业的领导者。但它需要证明自己的能力从这一集中恢复过来希望将来能做得更好。该公司表示，它正在改变服务器的运行方式，并将对供应商提出更高的标准。NordVPN还承诺完成一项第三方对其服务器的审计．这是否足以让客户放心，可能取决于个人。

如果读者们能从NordVPN的惨败中得到什么教训的话，我希望那就是:如果不信任产品，那么任何产品都不值得保留。我们很幸运生活在一个有大量的竞争在安全领域的每一个部分。如果你正在使用的东西不能让你感到安全，那么是时候买一些能让你感到安全的东西了。