Selon BleepingComputer (Sergiu Gatlan, 5 janvier 2026), NordVPN a démenti une allégation de compromission de serveurs de développement, expliquant que les données diffusées proviennent d’un essai d’un fournisseur tiers d’automatisation de tests et ne contiennent que des données factices.

Un acteur de menace (handle « 1011 ») a revendiqué sur un forum le vol de « +10 bases de données » depuis un serveur de développement de NordVPN après une attaque par force brute contre un serveur mal configuré, évoquant des clés API Salesforce et des jetons Jira.

NordVPN indique qu’il s’agit en réalité d’un environnement de test temporaire lié à l’évaluation d’un fournisseur tiers d’automatisation de tests, sans connexion à l’infrastructure de l’entreprise. Le contenu serait limité à des données factices utilisées pour des vérifications fonctionnelles; aucun client, code source de production ni identifiant sensible actif n’y figuraient. L’entreprise précise que l’environnement n’a jamais été relié aux systèmes de production, qu’aucun contrat n’a été signé avec ce fournisseur et qu’un autre prestataire a finalement été retenu.

NordVPN ajoute que les éléments divulgués (tables API spécifiques, schémas de base de données) ne peuvent être que des artefacts d’un environnement isolé tiers; l’entreprise a contacté le fournisseur concerné. 🧪🔐

Contexte: en 2019, des pirates avaient compromis des serveurs de NordVPN et TorGuard, accédant en root et dérobant des clés privées; en réponse, NordVPN a lancé un programme de bug bounty, mandaté un audit de sécurité tiers et migré vers des serveurs dédiés et une infrastructure RAM-only.

TTPs observés/révélés:

  • Revendication d’attaque par force brute sur un serveur de développement supposément mal configuré
  • Publication sur forum de hackers et fuite de « bases de données »

IOCs:

  • Aucun indiqué dans l’article

Type d’article: article de presse spécialisé visant à clarifier une allégation de fuite et à rappeler le contexte antérieur.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/