芬兰一家数据中心在去年3月遭到黑客入侵,使得包括NordVPN、TorGuard与VikingVPN等三大VPN企业的密钥都曝光,此事直至日前才被踢爆,事主之一的NordVPN除了最早提出说明之外,也在本周宣布未来的安全改善计划,包括将启动漏洞挖掘奖励项目。
NordVPN提出了五大改善安全性的方向,其中之一是与安全顾问公司及研究人员合作,以全面评估NordVPN服务的安全性,并协助内部团队进行渗透测试、学习入侵处理、执行风险评估,以及源码分析等。
其次则是将启动漏洞挖掘奖励项目,邀请赏金猎人寻找并提报该服务的漏洞。也会在明年进行基础设施的安全审核,涵盖硬件、VPN软件、后端架构、源码及内部程序等。
NordVPN也决定要采用更高的安全标准,例如虽然还是把服务器放置在数据中心,但会创建一个完全由NordVPN掌控的服务器网络,也会升级整个基础设施,把5,100台服务器全部更新为RAM服务器,创建一个可集中管理的网络。
NordVPN解释,新的服务器皆属于无硬盘(Diskless)服务器,服务器上甚至不会有操作系统,所必须执行的任务都将由NordVPN的中央基础设施提供,因此假设有一台服务器被入侵了,黑客所控制的将是一台只有硬件的设备,不会存有任何的数据或配置文件。