Passwörter von NordVPN-Benutzern in Online-Foren kompromittiert und offengelegt

Am 21. Oktober gab NordVPN zu, dass Hacker auf einen Server zugegriffen hatten, der vom VPN-Anbieter genutzt wurde. Weniger als zwei Wochen später, am Freitag, stellte sich heraus, dass die Benutzernamen und Passwörter der NordVPN-Benutzer in öffentlichen Online-Foren und auf Sharing-Plattformen wie Pastebin durchgesickert sind. Es überrascht nicht, dass die Leute wissen möchten, ob es einen Zusammenhang zwischen den beiden Vorfällen gibt.

Der im Oktober gemeldete Verstoß ereignete sich tatsächlich im März 2018. NordVPN wies darauf hin, dass das finnische Rechenzentrum, das den kompromittierten Server betrieb, einen Fehler begangen hatte. In dem Blogbeitrag wurde auch darauf hingewiesen, dass die Hacker keinen Zugriff auf personenbezogene Daten hatten und dass es keine Anhaltspunkte dafür gibt, dass der Datenverkehr überwacht wurde. Mit anderen Worten, die Anmeldeinformationen, über die Dan Goodin von Ars Technica zum ersten Mal am 1. November sprach, wurden während des Angriffs auf NordVPN im März 2018 nicht durchgesickert. Woher kamen sie dann?

Hacker starten einen Angriff auf NordVPN-Benutzer

Die Benutzernamen und Passwörter wurden nach einem Stuffing-Angriff auf die Anmeldeinformationen angezeigt . Mit anderen Worten, sie wurden von einem anderen Onlinedienst gestohlen, der nichts mit NordVPN zu tun hat. Nachdem die Anmeldedaten gestohlen worden waren, versuchten die Hacker die Kombination aus Benutzername und Kennwort auf NordVPN. Da die gleichen Anmeldedaten auf mehreren Websites erneut verwendet wurden, konnten mit einigen Kennwörtern die virtuellen privaten Netzwerkkonten der Benutzer erfolgreich entsperrt werden. Noch besorgniserregender ist, dass die meisten Kennwörter, die den Zugriff auf die VPNs der Benutzer ermöglichen, immer noch aktiv zu sein scheinen.

Dan Goodin erhielt eine Liste mit 753 Paaren von E-Mail-Adressen und Klartext-Passwörtern, und nachdem er eine Stichprobe der betroffenen Benutzer kontaktiert hatte, kam er zu dem Schluss, dass alle bis auf eine der Kombinationen gültig waren. Die einzige Person, die ihr Passwort aktualisiert hat, hat dies getan, nachdem sie benachrichtigt wurde, dass jemand auf ihr Konto zugegriffen hat.

Leider ist die Charge, die Goodin erhalten und analysiert hat, bei weitem nicht die einzige. Er sagte, dass Troy Hunt innerhalb einer Woche nicht weniger als zehn ähnliche Listen zum Benachrichtigungsdienst für Verstöße gegen das Gesetz hinzugefügt habe. Obwohl einige der Konten mehrmals angezeigt werden, schätzt Dan Goodin, dass mindestens 2.000 NordVPN-Benutzer von dem Vorfall des Stopfens von Anmeldeinformationen betroffen sein könnten. Im Vergleich zu anderen Verstößen scheint diese Zahl nicht besonders hoch zu sein, aber die Art eines Kontos für ein virtuelles privates Netzwerk bedeutet, dass die Konsequenzen einer Kompromittierung ziemlich verheerend sein können. Also, wer ist schuld?

Jeder muss sich der Gefahren bewusst werden, die durch das Ausfüllen von Anmeldeinformationen entstehen können

Wie immer ist es komplexer zu sagen, wer für einen Cybersicherheitsvorfall verantwortlich ist, als es zunächst erscheint.

Sie haben offensichtlich die Online-Dienste, die in erster Linie die Anmeldeinformationen verloren haben. Sie verdienen Kritik nicht nur, weil sie die Anmeldedaten der Personen nicht richtig geschützt haben, sondern auch, weil sie die Passwörter nicht richtig gespeichert haben, was daran zu erkennen ist, dass die Anmeldedaten jetzt im Klartext zirkulieren.

Auch NordVPN ist nicht nur ein Opfer. Wie Dan Goodin betonte, soll dies ein Online-Dienst sein, der den Menschen zusätzliche Sicherheit bietet, aber das Unternehmen, das dafür Geld berechnet, hat keine ausreichenden Mechanismen zur Begrenzung der Rate eingerichtet, die die Cyberkriminellen aufgehalten hätten. Besser spät als nie sagte NordVPN gegenüber Ars Technica, dass es nun an diesem Problem arbeiten und ein Zwei-Faktor-Authentifizierungssystem entwickeln wird, das das Leben von Hackern erschweren soll.

Zumindest ein Teil der Schuld sollte aber auch den Nutzern zukommen. Seit Jahren zeigen Cybersicherheitsexperten anhand von Beispielen aus der Praxis, wie wichtig die Komplexität von Passwörtern ist, aber die Anmeldeinformationen, die Dan Goodin sich ansah, zeigten ziemlich eindeutig, dass die Botschaft nicht überliefert ist. Der Reporter von Ars Technica sagte, dass alle von ihm betrachteten Passwörter schwach seien. Einige von ihnen waren identisch mit dem ersten Teil der E-Mail-Adresse, mit der sie gepaart wurden, andere waren die Nachnamen der Benutzer, an die ein paar Ziffern angehängt waren, und andere waren immer noch Wörter aus dem Wörterbuch, die ziemlich leicht zu erraten waren.

Die Passwortstärke (oder deren Fehlen) ist nicht einmal das größte Problem. Das Konzept des Stopfens von Anmeldeinformationen beruht darauf, dass Benutzer für mehrere Websites identische Kombinationen aus Benutzername und Kennwort verwenden. Trotz der großen Anzahl ähnlicher Vorfälle in den letzten Jahren verwenden Benutzer weiterhin dieselben Kennwörter für viele verschiedene Onlinedienste und verlassen sich dann auf diese Dienste, um ihre Anmeldedaten angemessen zu schützen. Dies ist eindeutig nicht die beste Strategie in der heutigen Zeit.

Seit einiger Zeit gibt es Kennwortverwaltungslösungen wie den Cyclonis Password Manager , mit denen sich vermeiden lässt, dass immer wieder dieselben Fehler gemacht werden. Aus verschiedenen Gründen sind die Akzeptanzraten jedoch bei weitem nicht so hoch, wie sie eigentlich sein sollten.

Die Wahrheit ist, auch wenn Sie sich gegen die Verwendung eines Passwort-Managers entscheiden, sollten Sie sich der Gefahren bewusst sein, die durch Angriffe auf das Ausfüllen von Anmeldeinformationen entstehen, und Sie müssen sicherstellen, dass Ihre Abwehrkräfte ausreichen.