NordVPN-brugernes adgangskoder kompromitteres og udsættes på online-fora

NordVPN Credential Stuffing Attack

Den 21. oktober indrømmede NordVPN, at hackere havde adgang til en server, der blev brugt af VPN-udbyderen. Mindre end to uger senere, på fredag, viste det sig, at brugernavne og adgangskoder til NordVPN-brugere er lækket på offentlige online fora og delingsplatforme som Pastebin. Ikke overraskende vil folk vide, om der er en forbindelse mellem de to hændelser.

Overtrædelsen, der blev rapporteret i oktober, fandt faktisk sted i marts 2018. NordVPN var hurtig med at påpege, at det skete, fordi det finske datacenter, der betjente den kompromitterede server, begik en fejl. Blogindlægget påpegede også, at hackerne ikke fik adgang til nogen personlige data, og at der ikke er noget, der tyder på, at der blev overvåget nogen trafik. Med andre ord, de login-legitimationsoplysninger, som Ars Technicas Dan Goodin først talte om den 1. november, lækkede ikke i løbet af marts 2018's angreb på NordVPN. Hvor kom de fra da?

Hackere lancerer et legitimationsudstoppningsangreb på NordVPN-brugere

Brugernavne og adgangskoder blev udsat efter et legitimationsudstoppningsangreb . Med andre ord blev de stjålet fra en anden onlinetjeneste, der ikke har noget at gøre med NordVPN. Efter at have stjålet login-datane prøvede hackerne brugernavnet og adgangskodekombinationerne på NordVPN, og fordi folk havde genbrugt de samme legitimationsoplysninger på flere websteder, låste nogle af adgangskoderne med succes låsning af brugernes virtuelle private netværkskonti. Mere foruroligende synes de fleste af de adgangskoder, der giver adgang til folks VPN'er, stadig at være aktive.

Dan Goodin modtog en liste med 753 e-mail-adresse og adgangskodepar i almindelig tekst, og efter at have kontaktet en prøve af de berørte brugere konkluderede han, at alle undtagen en af kombinationerne var gyldige. Den eneste person, der havde opdateret deres adgangskode, gjorde det efter at have fået besked om, at nogen havde adgang til deres konto.

Desværre er den batch, Goodin modtog og analyseret, langt fra den eneste. Han sagde, at Troy Hunt havde tilføjet ikke mindre end ti lignende lister til Have I Been Pwned- overtrædelsemeddelelsestjenesten i løbet af en uge. Selvom nogle af kontiene vises flere gange, vurderede Dan Goodin, at mindst 2 tusind NordVPN-brugere kunne blive påvirket af den legitimationsstoppede hændelse. Sammenlignet med andre overtrædelser virker dette nummer ikke særlig stort, men arten af en virtuel privat netværkskonto betyder, at konsekvenserne af at gå på kompromis kan være temmelig ødelæggende. Så hvem er skylden?

Alle skal være mere opmærksomme på farerne ved udskrivning af legitimationsoplysninger

Som altid er det mere kompliceret at sige, hvem der er ansvarlig for en cybersikkerhedshændelse, end det ser ud i starten.

Du har tydeligvis onlinetjenesterne, der mistede legitimationsoplysningerne i første omgang. De fortjener kritik ikke kun fordi de ikke beskyttede folks login-data, men også fordi de ikke lagrede adgangskoder korrekt, hvilket er tydeligt ved, at legitimationsoplysningerne nu cirkulerer i almindelig tekst.

NordVPN er heller ikke blot et offer. Som Dan Goodin påpegede, antages dette at være en onlinetjeneste, der giver folk ekstra sikkerhed, men det firma, der opkræver penge for det, har ikke indført tilstrækkelige takstbegrænsende mekanismer, der ville have stoppet cyberkriminelle. I et bedre-sent-end-aldrig træk fortalte NordVPN Ars Technica, at det nu vil arbejde på dette problem og også vil udvikle et tofaktors autentificeringssystem, der skulle gøre hackernes liv sværere.

Mindst en del af skylden skal dog også gå til brugerne. I årevis har cybersikkerhedseksperter anvendt eksempler fra den virkelige verden for at lære folk, hvor vigtig adgangskompleksitet er, men legitimationsoplysninger Dan Goodin kiggede på viste temmelig definitivt, at beskeden ikke er gået på tværs. Ars Technicas reporter sagde, at alle de adgangskoder, han kiggede på, var svage. Nogle af dem var identiske med den første del af den e-mail-adresse, de blev parret med, andre var brugerens efternavne med et par cifre knyttet til dem, og andre var stadig ordbogsord, der kan gættes forholdsvis let.

Adgangskodestyrken (eller manglen på dem) er ikke engang det største problem. Konceptet med legitimationsstopning afhænger af mennesker, der bruger identiske brugernavn og adgangskodekombinationer til flere websteder. På trods af det store antal lignende hændelser, vi har set i de sidste par år, bruger brugerne fortsat de samme adgangskoder til mange forskellige onlinetjenester, og de stoler derefter på disse tjenester for at beskytte deres login-data tilstrækkeligt. Dette er helt klart ikke den bedste strategi i denne dag og alder.

I et stykke tid har der været løsninger til styring af adgangskoder som Cyclonis Password Manager, der kan hjælpe folk med at undgå at begå de samme fejl igen og igen, men af forskellige forskellige grunde er adoptionssatserne næsten ikke så høje som de burde være.

Sandheden er, selvom du vælger ikke at bruge en adgangskodemanager, skal du være opmærksom på de farer, som legitimationsudstoppningsangreb udgør, og du skal sørge for, at dine forsvar er tilstrækkelige.

November 5, 2019

Efterlad et Svar

VIGTIG! For at kunne fortsætte skal du løse følgende enkle matematik.
Please leave these two fields as is:
Hvad er 5 + 7?