O ataque foi confirmado oficialmente, mas na mesma mensagem alude-se ao caráter circunscrito do mesmo. A NordVPN refere que não guarda, recolhe ou partilha dados pessoais dos utilizadores e que, assim sendo, o servidor em causa não tinha qualquer registo de atividade dos utilizadores. O atacante também não tinha forma de desencriptar o tráfego feito através da VPN para outros servidores. O incidente em questão, confirmado agora, aconteceu em março de 2018 e visou um servidor de um terceiro, contratado pela NordVPN na Finlândia. O hacker terá explorado um sistema de gestão remota inseguro que o fornecedor do servidor tinha em vigor e que era desconhecido da equipa da NordVPN, noticia o Engadget. O sistema de gestão foi removido, também sem conhecimento da NordVPN, a 20 de março.
A intrusão foi confirmada à NordVPN há alguns meses e a empresa cessou o contrato com o fornecedor em causa. O motivo para só agora o ataque ter sido confirmado publicamente deve-se às auditorias à infraestrutura que a NordVPN efetuou para confirmar que mais nenhum sistema teria sido afetado.
A empresa anunciou que vai acelerar a migração de todos os servidores para RAM, um processo que deve estar concluído em 2020.
«Fizemos uma auditoria de segurança aplicacional, estamos a trabalhar numa segunda auditoria no-logs de momento e estamos a preparar um programa de caça a bugs (…) No próximo ano, vamos trabalhar numa auditoria externa independente para assegurar que não nos escapou nada», assevera a NordVPN numa publicação no seu blogue.