Ключи от Salesforce, токены Jira и «забытый» сервер в Панаме. Что известно о возможной утечке из NordVPN

На теневых форумах появилось громкое заявление о возможной утечке данных из инфраструктуры разработки NordVPN. Неизвестный злоумышленник под ником 1011 утверждает, что получил доступ к внутренним системам компании и уже выложил часть материалов в открытый доступ в даркнете.

По словам атакующего, точкой входа стал неверно настроенный сервер разработки, размещенный в Панаме. Такие среды нередко защищены слабее, чем боевые системы, и именно поэтому регулярно становятся удобной целью: достаточно найти «забытый» сервис, открытый наружу, или старую конфигурацию, которую никто не проверял годами.

В опубликованных описаниях речь идет не только о данных, но и о вещах куда более опасных для бизнеса: исходных кодах и учетных секретах. Злоумышленник заявляет о доступе к более чем десяти базам и их исходникам, а среди «трофеев» называет ключи для API Salesforce и токены Jira. Если такие учетные данные действительно утекли, они потенциально открывают путь к критически важным корпоративным инструментам: системам управления клиентами и внутренним процессам разработки.

Чтобы подтвердить свои слова, 1011 выложил образцы SQL-дампов. По ним можно увидеть структуру таблиц и конфигурации, связанные с ключами доступа, в том числе упоминаются таблицы вроде salesforce_api_step_details и настройки api_keys. Даже если в самих дампах нет полного содержимого, одного знания схемы и формата ключей иногда достаточно, чтобы упростить дальнейшие атаки на связанные сервисы и интеграции.

Аналитики Dark Web Informer обратили внимание на публикацию 4 января 2026 года и отметили, что сценарий выглядит типично для компрометации дев-среды. В качестве метода взлома описывается перебор паролей: злоумышленник последовательно подбирает комбинации, пока не найдет рабочую. Эта техника давно известна, но по-прежнему дает результат там, где нет ограничений на число попыток, нормальной политики паролей и дополнительных факторов защиты.

NordVPN опровергла заявления о взломе

Однако команда безопасности NordVPN провела расследование и категорически опровергла обвинения в компрометации своих систем. Согласно официальному заявлению компании, никакие серверы NordVPN или внутренняя production-инфраструктура не были взломаны. «На данный момент нет никаких признаков того, что системы NordVPN были скомпрометированы», — подчеркнула команда безопасности, отметив, что опубликованные данные не имеют отношения к Salesforce-окружению NordVPN или каким-либо другим внутренним сервисам компании.

Расследование показало, что утечка связана с временным тестовым окружением стороннего вендора. Около полугода назад компания проводила оценку поставщика услуг автоматизированного тестирования в рамках Proof of Concept (PoC). Для этого было создано изолированное тестовое окружение, которое никогда не подключалось к production-системам. В итоге NordVPN выбрала другого вендора и не стала продолжать сотрудничество с тем, чья инфраструктура оказалась скомпрометирована.

Критически важно, что в тестовом окружении не использовались реальные данные. Поскольку речь шла о предварительной оценке, туда не загружались ни информация о клиентах, ни production-код, ни действующие учетные данные. Опубликованные элементы — таблицы API и схемы баз данных — оказались артефактами изолированной тестовой среды, заполненной исключительно фиктивными данными для проверки функциональности.

«Заявления о том, что наши внутренние серверы разработки Salesforce были взломаны, являются ложными, — официально заявляет NordVPN. — Системы NordVPN остаются полностью защищенными. Ваши данные в безопасности, и никаких действий с вашей стороны не требуется».

Хотя утечка касается только заброшенного тестового окружения, NordVPN связалась с соответствующим вендором для получения дополнительной информации и обеспечения полной прозрачности ситуации. Этот инцидент стал очередным напоминанием о рисках работы со сторонними поставщиками: даже временные и изолированные тестовые среды требуют жесткого контроля безопасности и своевременного удаления после завершения проектов.