Неизвестный взломщик получил несанкционированный доступ к серверам NordVPN в Финляндии, рассказали сами владельцы VPN-сервиса. Как подчеркнул TechCrunch, взлом произошёл ещё в 2018, владельцы узнали о нём «несколько месяцев назад», но признались в проблемах только сейчас, так как: «хотели на 100% убедиться, что каждый компонент инфраструктуры безопасен».
Хакер использовал систему удалённого управления, установленную арендодателем дата-центра. Владельцы NordVPN заверили, что через неё злоумышленник не смог бы перехватывать логины и пароли пользователей (эксперты, опрошенные TechCrunch, в этом сомневаются). Однако мог отслеживать логи путешествий по сети. Финский сервер NordVPN был не защищён, как минимум, с 31 января по 20 марта 2018 года. NordVPN использовал криптографические ключи с истёкшим сроком действия. Потенциально это давало возможность злоумышленникам развернуть собственные серверы, имитирующие NordVPN. Одновременно TechCrunch допустил, что в указанные сроки хакеры могли атаковать TorGuard и VikingVPN. Пара конкурирующих сервисов тоже может быть скомпрометирована.
В марте 2019 года российский Роскомнадзор попросил NordVPN цензурировать трафик по российскому реестру запрещённых сайтов, но владельцы сервиса отказали регулятору.
В апреле 2019 года эксперты заметили в NordVPN подозрительный трафик. Исследователь безопасности Райан Нимес (Ryan Niemes) обнаружил обращения NordVPN к странным доменам у которых отсутствовал владелец. В ответ на обращение недоумевающего Нимеса к разработчикам, NordVPN пообещали исправить проблему, однако даже после обновления странные подключения сохранились. Позднее Нимес установил, что запросы раскрывали user-agent, версию приложения, сборку ОС хоста и адрес IPv4 пользователя NordVPN. Владельцы сервиса объяснили происходящее особенностями работы механизма обхода блокировок.
