Ключи от Salesforce, токены Jira и «забытый» сервер в Панаме. Что известно о возможной утечке из NordVPN
NewsMakerОпубликованные фрагменты показывают доступ к структурам БД и конфигурациям ключей.
На теневых форумах появилось громкое заявление о возможной утечке данных из инфраструктуры разработки NordVPN. Неизвестный злоумышленник под ником 1011 утверждает, что получил доступ к внутренним системам компании и уже выложил часть материалов в открытый доступ в даркнете.
По словам атакующего, точкой входа стал неверно настроенный сервер разработки, размещенный в Панаме. Такие среды нередко защищены слабее, чем боевые системы, и именно поэтому регулярно становятся удобной целью: достаточно найти «забытый» сервис, открытый наружу, или старую конфигурацию, которую никто не проверял годами.
В опубликованных описаниях речь идет не только о данных, но и о вещах куда более опасных для бизнеса: исходных кодах и учетных секретах. Злоумышленник заявляет о доступе к более чем десяти базам и их исходникам, а среди «трофеев» называет ключи для API Salesforce и токены Jira. Если такие учетные данные действительно утекли, они потенциально открывают путь к критически важным корпоративным инструментам: системам управления клиентами и внутренним процессам разработки.
Чтобы подтвердить свои слова, 1011 выложил образцы SQL-дампов. По ним можно увидеть структуру таблиц и конфигурации, связанные с ключами доступа, в том числе упоминаются таблицы вроде salesforce_api_step_details и настройки api_keys. Даже если в самих дампах нет полного содержимого, одного знания схемы и формата ключей иногда достаточно, чтобы упростить дальнейшие атаки на связанные сервисы и интеграции.
Аналитики Dark Web Informer обратили внимание на публикацию 4 января 2026 года и отметили, что сценарий выглядит типично для компрометации дев-среды. В качестве метода взлома описывается перебор паролей: злоумышленник последовательно подбирает комбинации, пока не найдет рабочую. Эта техника давно известна, но по-прежнему дает результат там, где нет ограничений на число попыток, нормальной политики паролей и дополнительных факторов защиты.
Отдельный риск в том, что утечка исходного кода, если она подтвердится, дает атакующим «карту местности»: как устроены сервисы, где могут быть слабые места, какие компоненты и зависимости используются. На этом фоне специалисты обычно рекомендуют действовать максимально жестко и быстро: провести аудит всей инфраструктуры разработки, срочно отозвать и перевыпустить скомпрометированные ключи и токены, принудительно включить многофакторную аутентификацию, а также усилить мониторинг и контроль доступа. Для компаний, у которых есть публично доступные дев-серверы, эта история служит напоминанием: «временная» и «тестовая» среда почти всегда превращается в постоянную, а цена ошибки там бывает не меньше, чем в продакшене.
На теневых форумах появилось громкое заявление о возможной утечке данных из инфраструктуры разработки NordVPN. Неизвестный злоумышленник под ником 1011 утверждает, что получил доступ к внутренним системам компании и уже выложил часть материалов в открытый доступ в даркнете.
По словам атакующего, точкой входа стал неверно настроенный сервер разработки, размещенный в Панаме. Такие среды нередко защищены слабее, чем боевые системы, и именно поэтому регулярно становятся удобной целью: достаточно найти «забытый» сервис, открытый наружу, или старую конфигурацию, которую никто не проверял годами.
В опубликованных описаниях речь идет не только о данных, но и о вещах куда более опасных для бизнеса: исходных кодах и учетных секретах. Злоумышленник заявляет о доступе к более чем десяти базам и их исходникам, а среди «трофеев» называет ключи для API Salesforce и токены Jira. Если такие учетные данные действительно утекли, они потенциально открывают путь к критически важным корпоративным инструментам: системам управления клиентами и внутренним процессам разработки.
Чтобы подтвердить свои слова, 1011 выложил образцы SQL-дампов. По ним можно увидеть структуру таблиц и конфигурации, связанные с ключами доступа, в том числе упоминаются таблицы вроде salesforce_api_step_details и настройки api_keys. Даже если в самих дампах нет полного содержимого, одного знания схемы и формата ключей иногда достаточно, чтобы упростить дальнейшие атаки на связанные сервисы и интеграции.
Аналитики Dark Web Informer обратили внимание на публикацию 4 января 2026 года и отметили, что сценарий выглядит типично для компрометации дев-среды. В качестве метода взлома описывается перебор паролей: злоумышленник последовательно подбирает комбинации, пока не найдет рабочую. Эта техника давно известна, но по-прежнему дает результат там, где нет ограничений на число попыток, нормальной политики паролей и дополнительных факторов защиты.
Отдельный риск в том, что утечка исходного кода, если она подтвердится, дает атакующим «карту местности»: как устроены сервисы, где могут быть слабые места, какие компоненты и зависимости используются. На этом фоне специалисты обычно рекомендуют действовать максимально жестко и быстро: провести аудит всей инфраструктуры разработки, срочно отозвать и перевыпустить скомпрометированные ключи и токены, принудительно включить многофакторную аутентификацию, а также усилить мониторинг и контроль доступа. Для компаний, у которых есть публично доступные дев-серверы, эта история служит напоминанием: «временная» и «тестовая» среда почти всегда превращается в постоянную, а цена ошибки там бывает не меньше, чем в продакшене.