NordVPN ha pubblicato un comunicato stampa per smentire l’accesso ai server Salesforce e il furto dei dati. Un cybercriminale aveva confermato su un forum di aver rubato oltre 10 database con informazioni sensibili. Dopo un’indagine interna, l’azienda lituana non ha trovato nessun segno di intrusione nei server.
Account di prova su piattaforma di terze parti
Le istanze Salesforce sono state prese di mira dal gruppo Scattered Lapsus$ Hunters in diverse occasioni. Secondo Google, i cybercriminali hanno rubato i dati di oltre 200 aziende, tra cui Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters e Verizon.
Un cybercriminale con nickname 1011, da poco iscritto al forum BreachForums (accessibile solo tramite rete Tor), ha pubblicato un post il 4 gennaio per comunicare che aveva rubato oltre 10 database da un server di sviluppo di NordVPN, sfruttando un’errata configurazione. Nei database ci sarebbero chiavi API di Salesforce, token Jira e codice sorgente.
Dopo aver completato un’analisi forense, NordVPN ha confermato che non è stato compromesso nessun server. I dati pubblicati su BreachForums provengono da un ambiente temporaneo implementato sei mesi fa durante i test di prova di un potenziale fornitore.
Non è stato rubato nessun dato sensibile, in quanto non sono mai stati caricati dati reali dei clienti, codice sorgente di produzione o credenziali attive, essendo solo un test preliminare. L’ambiente in questione non è mai stato collegato ai sistemi di NordVPN (tra l’altro è stato scelto un altro fornitore).
Quanto comunicato dal cybercriminale è quindi falso. I dati trapelati sono solo “artefatti” di un ambiente di test di terze parti isolato, contenente dati fittizi utilizzati per i controlli di funzionalità. I sistemi di NordVPN rimangono completamente sicuri.
Ti potrebbe interessare
9 gen 2026