NordVPN TorGuard-talan


Ursprungligen publicerad 29 maj 2019, senast uppdaterad 5 juli 2019

Den här artikeln uppdateras regelbundet för att återspegla TorGuard-stämningen mot NordVPN och den pågående utvecklingen, som publiceras längst ner.

  • Uppdatering 1: TorGuard ändrar rättegång efter felaktig namngivning av fel parti
  • Uppdatering 2: TorGuard arkiverar ytterligare ett klagomål, tweetsar fler anklagelser

I en intressant vändning meddelade TorGuard nyligen på Twitter att det stämmer NordVPN och en kanadensisk webbhotellleverantör, C-Seven Media, Inc.

Vi har en fullständig kopia av stämningen som lämnades in i en Florida domstol, som du kan läsa här.

Varför stämmer en amerikansk VPN-tjänst i Florida (TorGuard) en VPN-tjänst baserad i Panama (NordVPN) och en kanadensisk webbhotellleverantör (C-7)?

Spänn dig upp, för det här kommer att bli intressant!

Först undersöker vi händelserna fram till stämningen och sedan tittar vi noga på stämningen och de specifika anklagelserna.

20 maj 2019: TorGuard hävdar att den ”utsätts för” av en annan VPN

Den 20 maj 2019 publicerade TorGuard ett intressant blogginlägg där de hävdar följande händelser ägde rum:

  1. En "okänd person dykte upp oinbjuden vid en anställds personliga bostad och bad om att prata om VPN-branschen." TorGuard-anställden fick också e-postmeddelanden på ett personligt konto från denna "okända person" från en konkurrerande VPN-tjänst.
  2. Under samtalet bad individen om ett "gentleman's Agreement" för att övertyga ett TorGuard-anslutet med namnet "Tom Spark reviews" för att "ta bort negativt innehåll från YouTube" som han hade publicerat om den konkurrerande VPN-tjänsten.
  3. Sedan avslöjade individen att han hade "skadlig information" om TorGuard angående en säkerhetsbrist, som skulle "släppas" om TorGuard inte gick med på kraven.
  4. TorGuard erkände bristen, men uppgav att servern "inte hade använts för installationer" sedan januari 2018 och hävdade att det inte finns "ingen säkerhetsrisk" för deras användare.
  5. TorGuard undersökte sedan frågan, vilket fick dem att tro att ett webbhotellföretag var inblandat och lovade "väntande rättsliga åtgärder."

I blogginlägget namnger inte TorGuard NordVPN eller det webbhotell som är involverat, men titeln på inlägget hävdar att detta var ett försök till ”utpressning”. Fyra dagar senare lade TorGuard in talan.

24 maj 2019: TorGuard Sues NordVPN och C-7 Hosting

Bara fyra dagar efter den påstådda "utpressningen" -händelsen inlämnade TorGuard en talan i en Orlando, Florida (USA) tingsrätt mot NordVPN och C-7 webbhotell.

nordvpn torguard stämning utpressning

Här är tio viktiga detaljer från rättegången (TLDR):

  1. TorGuard (Data Protection Services, LLC baserat i Florida) stämmer NordVPN (Tefincom S.A. baserat i Panama) och C-7 (C-Seven Media, Inc. baserat i Kanada).
  2. Stämningen inleds med en attack mot NordVPN för ”vilseledande” reklam och ”oärligt” leasing av IP-adresser från ARIN (även om dessa saker har ingenting att göra med de anklagelser som finns).
  3. TorGuard hävdar att NordVPN har "hotat TorGuard" med tidigare rättsliga åtgärder från "General Counsel Legal Affiairs Tefincom S.A."
  4. TorGuard hävdar då att NordVPN ”orkestrerade strategiskt tidsinställd” DDOS attacker mot TorGuards webbplats på Black Friday, vilket resulterade i "betydande ekonomiska skador och rykte."
  5. TorGuard söker påbud och rättvisa befrielse, skadestånd "över $ 75 000", återvinning av alla förlorade vinster, alla juridiska avgifter i samband med ärendet, "exemplariska skador" i beloppet "dubbelt så mycket som de faktiska förlusterna" och " ytterligare lättnad ”som domstolen beslutar är” rättvis och rättvis. ”
  6. TorGuard hävdar att C-7 är "anslutet till eller kontrollerat av NordVPN" och att C-7 begärde ett "köpbjudande" på NordVPNs vägnar.
  7. År 2018 avtalade TorGuard med C-7, vilket är hur C-7 hade tillgång till TorGuards ”konfidentiella och handelshemliga information.”
  8. TorGuard hävdar att denna "konfidentiella och handelshemliga information" tillhandahölls sedan till NordVPN, som var föremål för det påstådda "utpressning" -försöket den 17 maj 2019 om säkerhetsbrister.
  9. I rättegången säger TorGuard att NordVPN begärde ett "gentleman's Agreement" där NordVPN inte skulle publicera TorGuards säkerhetsbrister om TorGuard kunde få ett av deras dotterbolag [Tom Spark recensioner] för att ta bort YouTube-videor som var kritiska för NordVPN.
  10. TorGuard kräver a juryn rättegång och hävdar att de tilltalade (NordVPN och C-7) bröt Floridas lag om datamissbruk och datainsamling ("CADRA"), Florida Uniform Trade Secrets Act ("FUTSA") och även "Tortious Interference" när det gäller TorGuards affärsrelationer.

Nu när vi har behandlat huvudpunkterna i den tolvsidiga rättegången, låt oss undersöka några frågor till.

Kasta TorGuard lera? Är rättegången legitim?

VPN-branschen är mycket konkurrenskraftig och det finns mycket på spel. Det kan vara den största faktorn för att förklara allt detta drama vi har sett nyligen, med olika VPN-leverantörer som öppet attackerar varandra på olika platser (online och i domstol).

Det verkar tydligt att TorGuard har slagit på grund av olika DDOS-attacker, men rättegången verkar inte ha några röksprutbevis som länkar detta till NordVPN.

En annan stor fråga är om den här domstolen i Orlando, Florida har legitim behörighet att höra ett mål mot NordVPN, som är baserat i Panama, och C-7, som är baserat i Kanada. Ingen av dessa företag har en fysisk närvaro i Florida, så kanske stämningen helt enkelt kommer att kastas ut.

NordVPN: s officiella svar

NordVPN har tillhandahållit Återställ integritet med ett officiellt uttalande, het off the press den 29 maj 2019:

Vi är medvetna om rättegången, även om det är ganska svårt att ta det på allvar. Alla anklagelser består helt och hållet. TorGuard väckte till och med en talan mot ett kanadensiskt webbdesignföretag som vi aldrig hört talas om.

Vi fick information som ledde till att vi hittade konfigurationsfilen för TorGuard-server tillgänglig på internet. Då märkte vi att en av deras servrar lämnades helt oskyddad och tillgängligt för alla. Den innehöll privata nycklar, skript och ett antal andra extremt känslig information, som om missbruk kan ha orsakat TorGuard och deras kunder någon allvarlig skada.

Vi avslöjade sårbarheten för dem med de bästa avsikterna. Det är en normal praxis och precis rätt att göra, men de beslutade att lämna in en stämningsansökan. Vi ville inte ens publicera det.

Vi ser mycket fram emot följande process. Nu har vi inget annat val än att vidta motåtgärder.

Du kan också hitta vårt blogginlägg om detta fall här: https://nordvpn.com/blog/torguard-lawsuit/

NordVPNs svar på blogginlägget gör också några intressanta påståenden.

Det hela började när vi fick information som ledde till att vi hittade en TorGuard-serverkonfigurationsfil som ligger i öppet på internet.

Filen avslöjade hur TorGuard-tjänsten konfigurerades, visade privata nycklar och innehöll ett gäng andra infrastrukturella IP-adresser, inklusive IP: erna för deras autentiseringsservrar och liknande tillgångar. Eftersom filen kunde ha varit en del av något föråldrat gammalt system, beslutade vi att verifiera om det verkligen var ett problem genom att försöka få åtkomst till några av IP: erna genom en vanlig webbläsare.

Till vår överraskning såg vi att en av servrarna var helt oskyddad. Vem som helst kunde ha åtkomst till den genom att bara ange serverns IP i adressfältet i sin webbläsare. Servern innehöll ett antal skript och annan känslig information. I fel händer kunde denna information lätt ha missbrukats och eventuellt orsakat stora skador på TorGuard och deras kunder.

Inlägget förklarar sedan hur NordVPN kommunicerade säkerhetsproblemet till TorGuards CTO Keith Murray och TorGuards vd Benjamin Van Pelt "utan att be om något i gengäld" - dvs inga "utpressning" -försök. NordVPN hävdar också att TorGuard kan ha varit inblandad i en ”förtalskampanj” riktad mot NordVPN.

Slutligen förnekar NordVPN de andra anklagelserna om DDOSing och obehörig åtkomst, som de hävdar är "tillverkade" av TorGuard.

NordVPN avslutar inlägget genom att ange deras avsikt att motverka stämma:

Vi kommer omedelbart att flytta till att avfärda TorGuards skadliga rättegång, men så länge vi är med om ämnet: att lämna in falska och skadliga rättegångar och publicera falsk och vilseledande information strider mot lagen. Därför lämnar vi in ​​våra egna kostymer på grund av förtal och förtal.

Vi kommer att följa noga med hur allt spelar ut och uppdatera denna artikel i enlighet med detta.

TorGuards andra gång anklagas för säkerhetsbrister?

För rekordet är detta inte heller första gången som TorGuard offentligt anklagades för säkerhetsbrister.

2015 publicerade VPN.ac, en VPN-leverantör baserad i Rumänien, en artikel som beskriver hur TorGuard kopierade VPN.acs webbläsarutvidgningsdesign, använde VPN.acs API och implementerade också sin webbläsares proxy-tjänst på ett säkert sätt.

torguard säkerhetsbrister

Som VPN.ac förklarade i blogginlägget:

Det är inte bara designen som liknar, utan de använder också samma geo-plats API-serveradress (markerad i jämförelsebilden ovan). Detta är vårt eget geo-IP API server som vi använder internt (för programvara, tillägg etc.).

Fyi, att använda någon annans API-servrar, som en VPN-tjänst, är ett mycket ansvarsfullt misstag - bara hemskt av säkerhet & integritetssynpunkt. Vad de gör genom att använda någon annans servrar, till exempel vår API-tjänst, är att exponera alla sina Chrome Proxy-användare IP: er för en konkurrent. Vi stör inte frågorna på något sätt, men du bör vara medveten om att en skadlig konkurrerande tjänst kan utnyttja en sådan möjlighet att logga IP-användare för användare eller ännu värre, omdirigera dem eller förfalska JSON-svar för att röra upp med tilläggsfunktionalitet: t.ex. trollscenarium där ansluten plats visar “Fort Meade, Maryland” oavsett IP-plats för verklig gateway.

VPN.ac listade också andra säkerhetsfel:

  • Torguard lagrar referenser i klartekst; vi XORing passet för att skydda det mot spionprogram som kommer att söka över hela platsen efter tydlig textuppgifter;
    För att reproducera: lägg till vissa referenser och spara dem > högerklicka på förlängningen > Kontrollera popup > Resurser > Lokalt utrymme
  • Torguard får den aktuella listan över proxy-gateways via HTTP (igen i klar text); vi får dem över HTTPS (A + på Qualys / speglade resultat): från Torguards background.js, från vår background.js;
    Den uppenbara risken att tillhandahålla server-IP: er via HTTP är att de lätt kan kapas i en MitM-attack;
  • Torguards HTTPS-proxy är mycket osäker: använder osäkra siffror som RC4, stöder SSL 3, är sårbara för POODLE-attacker, ger inte framåt sekretess. Får ett skamligt betyg C på Qualys-testet. Resultatspegel 1, spegel 2 (för att se det ursprungliga resultatet). Och detta är vårt resultat / spegel (FS-aktiverat, inga svaga cifrar, stöd endast för TLS 1.1 och 1.2);

Återgår nu till TorGuard och NordVPN-stämningen.

Slutsats om talan om TorGuard och NordVPN

Tiden kommer att visa hur allt spelar ut.

Medan TorGuard tidigare har varit i nyheterna för säkerhetsbrister, var NordVPN också i nyheterna förra sommaren för en annan stämning som involverar Hola VPN.

I slutet av dagen är det synd att VPN-striderna dras ut på ett så framträdande och öppet sätt. Det skadar inte bara VPN-tjänsterna, utan det skadar också hela branschens trovärdighet.

Jag kommer att hålla den här artikeln uppdaterad när information blir tillgänglig.

Uppdatering 1: TorGuard namnger felaktigt fel part i rättegången

I ett överraskande misslyckande med due diligence har TorGuard officiellt utsett fel parti i deras rättegång.

torguard rättegång fel partiEpic fail.

Som rapporterats av Orlando Sentinel:

Ett Orlando-teknikföretag ändrade på torsdagen en federala rättegång eftersom det uppenbarligen utnämnde den felaktiga Toronto-baserade svaranden i den inledande arkiveringen.

TorGuard, som erbjuder kunder virtuella privata nätverk, eller VPN, har anklagat ett företag som heter C-7 för att ha erhållit sina affärshemligheter olagligt och sedan använt den informationen i ett utpressningssystem.

Men när advokater för C-7 nådde ut till TorGuards juridiska team för att lära sig mer, upptäckte de att TorGuard felaktigt hade namngivit sitt företag i dräkten.

Den ändrade arkiveringen namnger nu Collective 7 Inc., också belägen i Toronto, som svaranden.

Hoppsan!

Det verkar som att någon misslyckades med att göra den nödvändiga noggrannheten innan han lämnade in en stämningsansökan vid tingsrätten.

Uppdatering 2: TorGuard skickar in ett klagomål och tweetsar anklagelser

Den 26 juni 2019 lämnade TorGuard in ett klagomål vid Middle District Court of Florida Orlando Division. Jag läste hela klagomålet och det erbjuder inga nya bevis eller utveckling. Istället är det bara en ny hash av vad den ursprungliga stämningen redan täckte, som vi diskuterade ovan.

TorGuard meddelade denna uppdatering via deras Twitter-handtag. Förutom att tweeta om klagomålet publicerade TorGuard också en skärmdump som verkar vara en del av ett utbyte som ägde rum på en meddelandeplattform.

"Hur mycket du förnekar sanningen, sanningen fortsätter att existera." - George Orwell pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27 juni 2019

Jag tvekar att dra några slutsatser här, eftersom det här är ett litet utdrag av en konversation, men det verkar tyder på att NordVPN begärde att ett visst innehåll skulle tas bort. Är detta "bevis på utpressning"? Vem vet. Vi får se hur det spelar ut i domstol.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me