当错误赏金边界敲诈时

2018 年 5 月 TorGuard 启动了我们的漏洞赏金计划,该计划为研究人员提供了有关怎样将安全问题提交给 TorGuard 管理使用负责任的披露。 我们非常感谢安全社区在与我们合作期间所做的贡献和专业精神。 不幸的是,并非安全社区中的所有人都遵循了这些政策,而且我们最近收到了不适当渠道的报告。

当一个不知名的人不请自来地出现在工作人员的个人住所要求谈论 VPN 行业时,我们感到很惊讶。 这都儿一样 TorGuard 工作人员在其个人电子邮件帐户上收到来自竞争 VPN 公司的电子邮件,要求讨论两家 VPN 提供商之间的关系。

在谈话中,该个人要求达成“君子协议”,要求我们说服我们的 VPN 附属公司之一 Tom Spark 评测删除负面内容 YouTube 关于他们自己的VPN品牌。 该代表随后透露,他们掌握了有关以下方面的破坏性信息 TorGuard 如果我们不遵守,那将被释放。

由于披露过程中的不专业,我们选择公开回应这份报告和要求。

该报告指出,我们的 2017 IPsec 流媒体服务器安装脚本最近错误地打开了。

TorGuard的网络团队立即验证了此服务器在升级期间保持打开状态,但有问题的证书和服务器自 2018 年 1 月以来未用于安装,并且未在 TorGuard 网络。 不存在安全风险 TorGuard 运行流式 IP 附加组件、IPsec VPN 或任何其他 VPN 服务器的用户。

即使没有发现过去或现在的安全风险, TorGuard 已根据我们的安全协议重新颁发了所有证书。

在确认披露不是漏洞后,我们的团队开始研究多年后怎样从旧服务器安装脚本中获取私有 URL。

我们深入挖掘并发现这个特定的安装脚本最后一次在一家网络托管公司使用,我们在测试几天后取消了与该公司的服务。 取消的原因是由于在我们初始设置期间发生的网络主机的可疑活动。

此时 TorGuard 由于未决的法律诉讼,无法公开披露有关该托管公司的更多详细信息。

由于本次披露,我们现在正在对所有托管服务提供商的所有权进行审计, TorGuard 与。 我们将终止与所有与该竞争 VPN 服务的所有者、合伙人或股东有任何联系的托管公司的关系。

2019 年 6 月 28 日更新:

TorGuard 提出了所附的投诉 NordVPN 昨天在佛罗里达州中区。https://t.co/gLYUjdjqpQ

— TorGuard (@TorGuard) 2019 年 6 月 27 日

“无论你多么否认真相,真相都会继续存在。” ——乔治奥威尔 pic.twitter.com/tKRvLFtJFE

— TorGuard (@TorGuard) 2019 年 6 月 27 日