NordVPN TorGuard-retssag


Oprindeligt offentliggjort den 29. maj 2019, sidst opdateret den 5. juli 2019

Denne artikel opdateres periodisk for at afspejle TorGuard-retssagen mod NordVPN og den igangværende udvikling, som er lagt nederst.

  • Opdatering 1: TorGuard ændrer retssag efter fejlagtigt navngivende den forkerte part
  • Opdatering 2: TorGuard arkiverer en anden klage, tweets flere beskyldninger

I en interessant vending meddelte TorGuard for nylig på Twitter, at det sagsøger NordVPN og en canadisk webhostudbyder, C-Seven Media, Inc.

Vi har en fuld kopi af retssagen, der blev indgivet ved en Florida domstol, som du kan læse her.

Hvorfor sagsøger en amerikansk VPN-service i Florida (TorGuard) en VPN-service med base i Panama (NordVPN) og en canadisk webhostudbyder (C-7)?

Spænd op, fordi dette er ved at blive interessant!

Først skal vi undersøge begivenhederne op til retssagen og derefter se nærmere på retssagen og de specifikke påstande.

20. maj 2019: TorGuard hævder, at det blev "afpresset" af en anden VPN

Den 20. maj 2019 offentliggjorde TorGuard et interessant blogindlæg, hvor de hævder følgende begivenheder, der fandt sted:

  1. En "ukendt person dukkede op ubudet ved en medarbejders personlige bolig og bad om at tale om VPN-branchen." TorGuard-medarbejderen modtog også e-mails på en personlig konto fra denne "ukendte person" fra en konkurrerende VPN-service.
  2. Under samtalen bad den enkelte om en "gentleman's Agreement" til at overtale et TorGuard-tilknyttet ved navn "Tom Spark-anmeldelser" til "fjerne negativt indhold fra YouTube", han havde offentliggjort om den konkurrerende VPN-service.
  3. Derefter afslørede personen, at han havde "skadelige oplysninger" om TorGuard angående en sikkerhedsfejl, som "ville blive frigivet", hvis TorGuard ikke accepterede kravene.
  4. TorGuard anerkendte fejlen, men erklærede, at serveren "ikke var blevet brugt til installationer" siden januar 2018 og hævdede, at der var "ingen sikkerhedsrisiko" for deres brugere.
  5. TorGuard undersøgte derefter spørgsmålet, hvilket fik dem til at tro, at et webhostingfirma var involveret, og lovede "verserende retssager."

I blogindlægget navngiver TorGuard ikke NordVPN eller det involverede hostingfirma, men titlen på indlægget hævder, at dette var et forsøg på "afpresning". Fire dage senere indgav TorGuard retssagen.

24. maj 2019: TorGuard Sues NordVPN og C-7 Hosting

Bare fire dage efter den påståede "afpresning" -hændelse indgav TorGuard en retssag i en Orlando, Florida (USA) tingret mod NordVPN og C-7 web hosting.

nordvpn torguard retssag afpresning

Her er ti vigtige detaljer fra retssagen (TLDR):

  1. TorGuard (Data Protection Services, LLC med base i Florida) sagsøger NordVPN (Tefincom S.A. med base i Panama) og C-7 (C-Seven Media, Inc. med base i Canada).
  2. Retssagen åbner med et angreb på NordVPN for "vildledende" reklame og "uærligt" leasing af IP-adresser fra ARIN (selvom disse ting har ikke noget at gøre med de påstande, der er ved hånden).
  3. TorGuard hævder, at NordVPN har "truet TorGuard" med tidligere retssager fra "General Counsel Legal Affiairs Tefincom S.A."
  4. TorGuard hævder derefter, at NordVPN “orkestrerede strategisk tidsindstillet” DDOS angreb mod TorGuards websted på Black Friday, hvilket resulterede i "betydelige økonomiske skader og omdømme."
  5. TorGuard søger påbud og retfærdig lettelse, erstatning "over $ 75.000", inddrivelse af alt overskud, der blev tabt, alle juridiske gebyrer i forbindelse med sagen, "eksemplariske skader" i størrelsesordenen "dobbelt så meget tab som faktisk" og " yderligere lettelse ”, som Domstolen beslutter, er” retfærdig og retfærdig. ”
  6. TorGuard hævder, at C-7 er "tilknyttet eller kontrolleret af NordVPN", og at C-7 anmodede om et "købstilbud" på vegne af NordVPN.
  7. I 2018 indgik TorGuard kontrakt med C-7, hvilket er, hvordan C-7 havde adgang til TorGuards "fortrolige og forretningshemmelighedsoplysninger."
  8. TorGuard hævder, at denne "fortrolige og handelshemmelige information" derefter blev leveret til NordVPN, som var genstand for det påståede "afpresning" -forsøg den 17. maj 2019 vedrørende sikkerhedsmangler.
  9. I retssagen anfører TorGuard, at NordVPN anmodede om en "gentleman's Agreement", hvorved NordVPN ikke ville offentliggøre TorGuards sikkerhedsfejl, hvis TorGuard kunne få en af ​​deres tilknyttede virksomheder [Tom Spark anmeldelser] til at fjerne YouTube-videoer, der var kritiske over for NordVPN.
  10. TorGuard kræver a jury retssag og hævder, at de tiltalte (NordVPN og C-7) har overtrådt Floridas lov om computermisbrug og datagenopretning (“CADRA”), Florida Uniform Trade Secrets Act (“FUTSA”) og også “Tortious Interference” med hensyn til TorGuards forretningsforhold.

Nu hvor vi har dækket hovedpunkterne i den tolv-siders retssag, så lad os undersøge et par flere spørgsmål.

Kaster TorGuard mudder? Er retssagen legitim?

VPN-branchen er meget konkurrencedygtig, og der er meget på spil. Det kan være den største faktor til at forklare alt dette drama, vi har set for nylig, med forskellige VPN-udbydere åbent angreb hinanden i forskellige spillesteder (online og i retten).

Det ser ud til, at TorGuard har taget et hit på grund af forskellige DDOS-angreb, men retssagen ser ikke ud til at have nogen rygepistolbevis, der knytter dette til NordVPN.

Et andet stort spørgsmål er, om denne ret i Orlando, Florida har det legitim kompetence at høre en sag mod NordVPN, der er baseret i Panama, og C-7, der er baseret i Canada. Ingen af ​​disse virksomheder har en fysisk tilstedeværelse i Florida, så sagen kan måske simpelthen smides ud.

NordVPNs officielle svar

NordVPN har givet Restore Privacy en officiel erklæring, hot off the presse den 29. maj 2019:

Vi er opmærksomme på retssagen, selvom det er ret svært at tage det alvorligt. Alle beskyldninger består fuldstændigt. TorGuard (selvom sandsynligvis ved en fejltagelse) anlagde endda en retssag mod et canadisk webdesignfirma, som vi aldrig hørte om.

Vi modtog oplysninger, der førte til, at vi fik TorGuard-serverkonfigurationsfil tilgængelig på Internettet. Vi bemærkede derefter, at en af ​​deres servere blev forladt fuldstændig ubeskyttet og offentligt tilgængelig for enhver. Den indeholdt private nøgler, scripts og en række andre ekstremt følsomme oplysninger, som hvis de misbruges, kunne have forårsaget TorGuard og deres kunder en vis alvorlig skade.

Vi afslørede sårbarheden for dem med de bedste intentioner. Det er en normal praksis og bare den rigtige ting at gøre, men de besluttede at indgive en retssag for afpresning. Vi ønskede ikke engang at offentliggøre det.

Vi ser meget frem til følgende proces. Nu har vi ikke andet valg end at tage modforanstaltninger.

Du kan også finde vores blogindlæg om denne sag lige her: https://nordvpn.com/blog/torguard-lawsuit/

NordVPNs svar på blogindlæg fremsætter også nogle interessante påstande.

Det hele startede, da vi modtog oplysninger, der førte til, at vi fandt en TorGuard-serverkonfigurationsfil liggende i det fri på Internettet.

Filen afslørede, hvordan TorGuard-tjenesten blev konfigureret, vist private nøgler og indeholdt en masse andre infrastrukturelle IP-adresser, herunder IP'erne til deres godkendelsesserver og lignende aktiver. Fordi filen kunne have været en del af et forældet ældre system, besluttede vi at kontrollere, om det faktisk var et problem ved at forsøge at få adgang til nogle af IP'erne gennem en almindelig browser.

Til vores overraskelse så vi, at en af ​​serverne var helt ubeskyttet. Enhver kunne have adgang til den ved blot at indtaste serverens IP i adressefeltet i deres browser. Serveren indeholdt et antal scripts og andre følsomme oplysninger. I de forkerte hænder kunne disse oplysninger let have været misbrugt, muligvis forårsaget større skade på TorGuard og deres kunder.

Indlægget forklarer derefter, hvordan NordVPN formidlede sikkerhedsproblemet til TorGuards CTO Keith Murray og TorGuard-direktør Benjamin Van Pelt "uden at bede om noget til gengæld" - dvs. ingen "afpresning" -forsøg. NordVPN hævder også, at TorGuard kan have været involveret i en "ærekrænkelseskampagne", der er rettet mod NordVPN.

Endelig benægter NordVPN de andre beskyldninger om DDOSing og uautoriseret adgang, som de hævder er "fremstillet" af TorGuard.

NordVPN afslutter stillingen med at oplyse deres intention om at modsætte sagsøgte:

Vi vil straks flytte til at afvise TorGuards injurierende retssag, men så længe vi er emne: arkivering af falske og ondsindede retssager og offentliggørelse af forkerte og vildledende oplysninger er i strid med loven. Derfor indgiver vi vores egen dragt på grund af ærekrænkelser og injurier.

Vi følger nøje med på, hvordan dette hele spiller ud og opdaterer denne artikel i overensstemmelse hermed.

TorGuards anden gang bliver beskyldt for sikkerhedsfejl?

Til gengæld er det heller ikke første gang, at TorGuard er blevet offentligt beskyldt for sikkerhedsfejl.

I 2015 offentliggjorde VPN.ac, en VPN-udbyder med base i Rumænien, en artikel, der detaljerede oplysninger om, hvordan TorGuard kopierede VPN.acs browserudvidelsesdesign, brugte VPN.acs API og implementerede også deres browser-proxy-service usikkert.

torguard sikkerhedsfejl

Som VPN.ac forklarede i blogindlægget:

Det er ikke kun designet, der ligner, men de bruger også den samme geo-placering API-serveradresse (fremhævet i sammenligningsbilledet ovenfor). Dette er vores egen geo-IP API server, som vi bruger internt (til software, udvidelser osv.).

Fyi, at bruge en andens API-servere, som en VPN-service, er en meget uansvarlig fejl - bare forfærdeligt af en sikkerhed & personlige synspunkt. Hvad de gør ved at bruge en andens servere, såsom vores API-service, i det væsentlige er at udsætte alle deres Chrome Proxy-brugeres IP'er for en konkurrent. Vi interfererer ikke på forespørgslerne på nogen måde, men du skal være opmærksom på, at en ondsindet, konkurrerende tjeneste kan gøre brug af en sådan mulighed for at logge IP'er af brugere eller endnu værre, omdirigere dem eller forfalsk JSON-svarene til at mess-up med udvidelsesfunktionalitet: f.eks trolling-scenarie, hvor den tilsluttede placering vil vise “Fort Meade, Maryland” uanset den rigtige gateway IP-placering.

VPN.ac angav også andre sikkerhedsfejl:

  • Torguard gemmer legitimationsoplysningerne i klartekst; vi XORing passet for at beskytte det mod spyware, der søger overalt for klar-tekst legitimationsoplysninger;
    For at gengive: tilføj nogle legitimationsoplysninger og gem dem > højreklik på udvidelse > Inspicér popup > Ressourcer > Lokal opbevaring
  • Torguard får den ajourførte liste over proxy-gateways via HTTP (igen i klar-tekst); vi får dem over HTTPS (A + på Qualys / spejlet resultater): fra Torguards baggrund.js, fra vores baggrund.js;
    Den åbenlyse risiko for at levere server-IP'er via HTTP er, at de let kan kapres i et MitM-angreb;
  • Torguards HTTPS-proxy er meget usikker: bruger usikre cifre som RC4, understøtter SSL 3, er sårbare over for POODLE-angreb, giver ikke fremadrettet hemmelighed. Får en skammelig grad C på Qualys-test. Resultat spejl 1, spejl 2 (for at se det originale resultat). Og dette er vores resultat / spejl (FS aktiveret, ingen svage cifre, kun understøttelse af TLS 1.1 og 1.2);

Nu vender vi tilbage til retssagen TorGuard og NordVPN.

Konklusion om retssagen TorGuard og NordVPN

Tiden viser, hvordan alt dette spiller ud.

Mens TorGuard tidligere har været i nyhederne om sikkerhedsfejl, var NordVPN også i nyheden sidste sommer for en anden retssag, der involverede Hola VPN.

I slutningen af ​​dagen er det en skam, at VPN-kampe bliver trukket ud på en så fremtrædende og åben måde. Ikke kun skader det de involverede VPN-tjenester, men det skader også troværdigheden for hele branchen.

Jeg holder denne artikel opdateret, når information bliver tilgængelig.

Opdatering 1: TorGuard markerer forkert den forkerte part i retssagen

I en overraskende fiasko med due diligence har TorGuard officielt udnævnt den forkerte part i deres retssag.

torguard retssag forkert partiEpisk fejl.

Som rapporteret af Orlando Sentinel:

Et Orlando tech-selskab ændrede torsdag en føderal retssag, fordi det tilsyneladende navngav den forkerte Toronto-baserede sagsøgte i den indledende arkivering.

TorGuard, der tilbyder klienter virtuelle private netværk, eller VPN'er, havde anklaget et firma kaldet C-7 for at få deres forretningshemmeligheder ulovligt og derefter bruge disse oplysninger i en afpresningsordning.

Da advokater for C-7 nåede til TorGuards juridiske team for at lære mere, opdagede de, at TorGuard forkert havde navngivet deres firma i dragt.

Den ændrede arkivering navngiver nu Collective 7 Inc., også placeret i Toronto, som den tiltalte.

Ups!

Det ser ud til, at nogen ikke gjorde den nødvendige due diligence, før han indgav en større retssag for tingretten.

Opdatering 2: TorGuard indgiver en klage og tweets beskyldninger

Den 26. juni 2019 indgav TorGuard en klage til Middle District Court of Florida Orlando Division. Jeg læste hele klagen igennem, og den giver ikke nye beviser eller udviklinger. I stedet for er det bare en gen-hash af, hvad den originale retssag allerede dækkede, som vi diskuterede ovenfor.

TorGuard annoncerede denne opdatering via deres Twitter-håndtag. Ud over at tweeting om klagen udgav TorGuard også et skærmbillede, der ser ud til at være en del af en udveksling, der fandt sted på en meddelelsesplatform.

"Hvor meget du dog benægter sandheden, sandheden fortsætter med eksisterende." - George Orwell pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27. juni 2019

Jeg tøver med at drage nogen konklusioner her, da dette er et lille uddrag af en samtale, men det ser ud til at antyde, at NordVPN anmodede om, at et bestemt indhold skulle fjernes. Er dette "bevis for afpresning"? Hvem ved. Vi får se, hvordan det hele spiller ud i retten.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me