Οι κωδικοί χρηστών του NordVPN συμβιβάζονται και εκτίθενται σε ηλεκτρονικά φόρουμ

Στις 21 Οκτωβρίου, η NordVPN αναγνώρισε ότι οι hackers είχαν πρόσβαση σε ένα διακομιστή που χρησιμοποιήθηκε από τον πάροχο VPN. Λιγότερο από δύο εβδομάδες αργότερα, την Παρασκευή, έγινε φανερό ότι τα ονόματα χρηστών και οι κωδικοί πρόσβασης των χρηστών του NordVPN έχουν διαρρεύσει σε δημόσια φόρουμ online και μοιράζονται πλατφόρμες όπως το Pastebin. Δεν αποτελεί έκπληξη το γεγονός ότι οι άνθρωποι θέλουν να μάθουν αν υπάρχει σχέση μεταξύ των δύο συμβάντων.

Η παραβίαση που αναφέρθηκε τον Οκτώβριο πραγματοποιήθηκε τον Μάρτιο του 2018. Το NordVPN γρήγορα επεσήμανε ότι αυτό συνέβη επειδή το φινλανδικό κέντρο δεδομένων που χειρίστηκε τον συμβιβασμένο διακομιστή έκανε λάθος. Η δημοσίευση ιστολογίου επεσήμανε επίσης ότι οι χάκερ δεν είχαν πρόσβαση σε προσωπικά δεδομένα και ότι δεν υπάρχουν στοιχεία που να υποδεικνύουν ότι παρακολουθήθηκε οιαδήποτε κίνηση. Με άλλα λόγια, τα διαπιστευτήρια σύνδεσης που ο Νταν Γκάιντν του Ars Technica μιλούσαν για πρώτη φορά την 1η Νοεμβρίου δεν διαρρέουν κατά τη διάρκεια της επίθεσης του Μαρτίου 2018 στο NordVPN. Από πού προέρχονταν λοιπόν;

Οι χάκερ εκτοξεύουν μια επίθεση γεμίσματος πιστοποίησης στους χρήστες του NordVPN

Τα ονόματα χρηστών και οι κωδικοί πρόσβασης εκτέθηκαν μετά από μια επίθεση επίπληξης . Με άλλα λόγια, κλέφτηκαν από μια άλλη ηλεκτρονική υπηρεσία που δεν έχει καμία σχέση με το NordVPN. Έχοντας κλέψει τα δεδομένα σύνδεσης, οι χάκερ προσπάθησαν τους συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης στο NordVPN και επειδή οι άνθρωποι είχαν επαναχρησιμοποιήσει τα ίδια διαπιστευτήρια σε πολλούς ιστότοπους, μερικοί από τους κωδικούς πρόσβασης ξεκλειδωμένα με επιτυχία τους λογαριασμούς εικονικών ιδιωτικών δικτύων χρηστών. Ανησυχέστερα, οι περισσότεροι κωδικοί πρόσβασης που παρέχουν πρόσβαση στα VPN των πολιτών εξακολουθούν να φαίνονται ενεργά.

Ο Dan Goodin έλαβε μια λίστα 753 ηλεκτρονικών διευθύνσεων και ζευγαριών κωδικού πρόσβασης κειμένου και μετά από επικοινωνία με ένα δείγμα των επηρεαζόμενων χρηστών, κατέληξε στο συμπέρασμα ότι όλοι εκτός από έναν από τους συνδυασμούς ήταν έγκυροι. Το μόνο άτομο που ενημέρωσε τον κωδικό πρόσβασής του έκανε αυτό αφού έλαβε την ειδοποίηση ότι κάποιος είχε αποκτήσει πρόσβαση στο λογαριασμό του.

Δυστυχώς, η παρτίδα Goodin που ελήφθη και αναλύθηκε απέχει πολύ από το μοναδικό. Είπε ότι ο Troy Hunt είχε προσθέσει όχι λιγότερους από δέκα παρόμοιους καταλόγους στην υπηρεσία ειδοποίησης για παραβιάσεις έχουν πετύχει για ένα θέμα εβδομάδας. Παρόλο που μερικοί από τους λογαριασμούς εμφανίζονται πολλές φορές, ο Dan Goodin εκτιμά ότι τουλάχιστον 2 000 χρήστες του NordVPN θα μπορούσαν να επηρεαστούν από το περιστατικό παραπληρωματισμού. Σε σύγκριση με άλλες παραβιάσεις, αυτός ο αριθμός δεν φαίνεται ιδιαίτερα τεράστιος, αλλά η φύση ενός λογαριασμού εικονικού ιδιωτικού δικτύου σημαίνει ότι οι συνέπειες του συμβιβασμού θα μπορούσαν να είναι αρκετά καταστροφικές. Λοιπόν, ποιος φταίει;

Ο καθένας πρέπει να συνειδητοποιήσει καλύτερα τους κινδύνους που σχετίζονται με την παραγγελία

Όπως πάντα, η αναφορά του ποιος είναι υπεύθυνος για ένα περιστατικό στον κυβερνοχώρο είναι πιο περίπλοκο από ό, τι φαίνεται στην αρχή.

Έχετε προφανώς τις ηλεκτρονικές υπηρεσίες που έχασαν τα διαπιστευτήρια στην πρώτη θέση. Αξίζουν κριτική όχι μόνο επειδή δεν κατάφεραν να προστατεύσουν τα δεδομένα σύνδεσης των ανθρώπων, αλλά και επειδή δεν αποθηκεύουν σωστά τους κωδικούς πρόσβασης, γεγονός που είναι εμφανές από το γεγονός ότι τα διαπιστευτήρια κυκλοφορούν τώρα σε απλό κείμενο.

Το NordVPN δεν είναι απλώς θύμα. Όπως υπογράμμισε ο Dan Goodin, αυτό υποτίθεται ότι είναι μια ηλεκτρονική υπηρεσία που παρέχει στους ανθρώπους πρόσθετη ασφάλεια, όμως η εταιρεία που χρεώνει χρήματα για αυτό δεν έβαλε επαρκείς μηχανισμούς περιορισμού των επιτοκίων που θα είχαν σταματήσει τους εγκληματίες του κυβερνοχώρου. Σε μια βέλτιστη μετακίνηση αργότερα από ποτέ, η NordVPN είπε στην Ars Technica ότι τώρα θα ασχοληθεί με αυτό το πρόβλημα και θα αναπτύξει επίσης ένα σύστημα ελέγχου ταυτότητας δύο παραγόντων το οποίο θα καταστήσει δυσκολότερη τη ζωή των χάκερ.

Τουλάχιστον μερικές από τις ευθύνες πρέπει να πάνε και στους χρήστες, εντούτοις. Για χρόνια, οι εμπειρογνώμονες στον κυβερνοχώρο χρησιμοποιούν παραδείγματα πραγματικού κόσμου για να διδάξουν στους ανθρώπους πόσο σημαντική είναι η πολυπλοκότητα του κωδικού πρόσβασης, αλλά τα διαπιστευτήρια που εξέφρασε ο Dan Goodin έδειξαν αρκετά οριστικά ότι το μήνυμα δεν έχει περάσει. Ο δημοσιογράφος της Ars Technica είπε ότι όλοι οι κωδικοί πρόσβασης που εξέτασε ήταν αδύναμοι. Ορισμένα από αυτά ήταν πανομοιότυπα με το πρώτο μέρος της διεύθυνσης ηλεκτρονικού ταχυδρομείου με την οποία συνδυάστηκαν, άλλα ήταν τα επώνυμα των χρηστών με δυο ψηφία συνδεδεμένα με αυτά και άλλα ήταν ακόμα λεξικές λέξεις που μπορεί να μαντέψουν αρκετά εύκολα.

Η ισχύς του κωδικού πρόσβασης (ή η έλλειψή του) δεν αποτελεί καν το μεγαλύτερο πρόβλημα. Η έννοια της γνησιότητας παραγεμισμάτων βασίζεται σε άτομα που χρησιμοποιούν ταυτόσημους συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης για πολλαπλούς ιστότοπους. Παρά το μεγάλο αριθμό παρόμοιων περιστατικών που παρατηρήσαμε τα τελευταία χρόνια, οι χρήστες εξακολουθούν να χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για πολλές διαφορετικές ηλεκτρονικές υπηρεσίες και στη συνέχεια βασίζονται σε αυτές τις υπηρεσίες για την επαρκή προστασία των δεδομένων σύνδεσης τους. Αυτό σαφώς δεν είναι η καλύτερη στρατηγική σε αυτή την ημέρα και ηλικία.

Για μια στιγμή τώρα, υπήρξαν λύσεις διαχείρισης κωδικών πρόσβασης όπως το Cyclonis Password Manager που μπορεί να βοηθήσει τους ανθρώπους να αποφύγουν να κάνουν τα ίδια λάθη ξανά και ξανά, αλλά για διάφορους λόγους, τα ποσοστά υιοθεσίας δεν είναι τόσο κοντά όσο θα έπρεπε.

Η αλήθεια είναι ότι, ακόμη και αν επιλέξετε να μην χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης, θα πρέπει να γνωρίζετε τους κινδύνους που δημιουργούν οι επιθέσεις πληρώσεως πιστοληπτικής ικανότητας και πρέπει να βεβαιωθείτε ότι οι άμυνες είναι αρκετές.