A NordVPN felhasználói jelszavai sérültek és ki vannak téve az online fórumokon

Október 21-én a NordVPN elismerte, hogy a hackerek hozzáfértek egy olyan szerverhez, amelyet a VPN szolgáltató használt. Kevesebb, mint két héttel később, pénteken nyilvánvalóvá vált, hogy a NordVPN felhasználók felhasználóneveit és jelszavait kiszivárogtatják a nyilvános online fórumokon és a Pastebinhez hasonló megosztási platformon. Nem meglepő, hogy az emberek meg akarják tudni, van-e kapcsolat a két esemény között.

Az októberben bejelentett jogsértésre valójában 2018 márciusában került sor. A NordVPN gyorsan rámutatott, hogy az történt, mert a sértett szervert üzemeltető finn adatközpont hibát követett el. A blogbejegyzés rámutatott arra is, hogy a hackerek nem fértek hozzá személyes adatokhoz, és nincs olyan bizonyíték, amely arra utalna, hogy a forgalmat megfigyelték. Más szavakkal, azok a bejelentkezési adatok, amelyekről az Ars Technica Dan Goodin november 1-jén beszélt, nem szivárogtak ki az 2018. márciusában a NordVPN elleni támadás során. Akkor honnan származtak?

A hackerek hitelesítő adatokkal kapcsolatos támadást indítanak a NordVPN felhasználók ellen

A felhasználóneveket és jelszavakat hitelesítő adatok kitöltésének támadása után fedezték fel . Más szavakkal, elloptak egy másik online szolgáltatástól, amelynek semmi köze sincs a NordVPN-hez. A bejelentkezési adatok ellopása után a hackerek kipróbálták a felhasználónév és jelszó kombinációkat a NordVPN-en, és mivel az emberek ugyanazokat a hitelesítő adatokat használták fel több webhelyen, néhány jelszó sikeresen felszabadította a felhasználók virtuális magánhálózati fiókjait. Aggodalomra ad okot, hogy a legtöbb jelszó, amely hozzáférést biztosít az emberek VPN-jéhez, továbbra is aktív.

Dan Goodin megkapta a 753 e-mail cím és a szöveges jelszó pár listáját, és miután kapcsolatba lépett az érintett felhasználók mintájával, arra a következtetésre jutott, hogy az összes kombináció kivételével minden érvényes. Az egyetlen személy, aki frissítette a jelszavát, ezt megtette, miután értesítést kapott arról, hogy valaki belépett a fiókjába.

Sajnos a Goodin által beérkezett és elemzett tétel nem messze az egyetlen. Azt mondta, hogy Troy Hunt egy héten belül kevesebb mint tíz hasonló listát adott hozzá a támadási értesítő szolgáltatáshoz. Noha a fiókok egy része többször megjelenik, Dan Goodin becslése szerint legalább huszon ezer NordVPN-felhasználót érinthet a hitelesítő adatokkal kapcsolatos kitöltési esemény. Más megsértésekkel összehasonlítva ez a szám nem tűnik különösebben hatalmasnak, de a virtuális magánhálózati fiók jellege azt jelenti, hogy a kompromittáció következményei meglehetősen pusztítóak lehetnek. Szóval ki a hibás?

Mindenkinek tisztában kell lennie a hitelesítő adatok kitöltésének veszélyeivel

Mint mindig, bonyolultabb annak kimondása, hogy ki felelős a kiberbiztonsági eseményért, mint amilyennek látszik.

Nyilvánvalóan rendelkeznek az online szolgáltatásokkal, amelyek elsősorban elveszítették a hitelesítő adatokat. Bírálatot érdemelnek nemcsak azért, mert nem tudták megvédeni az emberek bejelentkezési adatait, hanem azért is, mert nem tárolták helyesen a jelszavakat, amire utal az a tény, hogy a hitelesítő adatok jelenleg egyszerű szövegben kerülnek forgalomba.

A NordVPN sem csupán áldozat. Ahogyan Dan Goodin rámutatott, ez állítólag egy online szolgáltatás, amely további biztonságot nyújt az embereknek, ám a pénzt felszámoló társaság nem hozott létre elegendő tarifát korlátozó mechanizmust, amely megállította volna a számítógépes bűnözőket. A későbbi, mint soha nem későbbi lépésben az NordVPN azt mondta az Ars Technica-nak, hogy most megoldja ezt a problémát, és kifejleszti egy két tényezőjű hitelesítési rendszert is, amely megnehezíti a hackerek életét.

Legalábbis a hibának legalább egy részét a felhasználóknak is el kell viselni. A kiberbiztonsági szakértők évek óta használnak valódi példákat, hogy megtanítsák az embereknek, hogy mennyire fontosak a jelszavak összetettsége, ám Dan Goodin megnézte a hitelesítő adatokat, amelyek meglehetősen határozottan megmutatták, hogy az üzenet nem ment át. Az Ars Technica újságírója szerint minden megvizsgált jelszó gyenge volt. Néhányuk megegyezett az e-mail cím első részével, amellyel párosultak, mások a felhasználói vezetéknevek néhány számjegyhez csatolva voltak, mások még mindig szótárszavak voltak, amelyek meglehetősen könnyen kitalálhatók.

A jelszó erőssége (vagy annak hiánya) még a legnagyobb probléma sem. A hitelesítő adatok kitöltésének fogalma az, hogy az emberek azonos felhasználói név és jelszó kombinációkat használnak több webhelyen. Annak ellenére, hogy az elmúlt években sok hasonló esemény történt, a felhasználók továbbra is ugyanazokat a jelszavakat használják számos különféle online szolgáltatáshoz, majd ezekre a szolgáltatásokra támaszkodnak a bejelentkezési adataik megfelelő védelme érdekében. Ez egyértelműen nem a legjobb stratégia manapság.

Egy ideje léteznek olyan jelszókezelési megoldások, mint például a Cyclonis Password Manager , amelyek segíthetnek az embereknek, hogy elkerüljék újra és újra ugyanazokat a hibákat, de különféle okok miatt az elfogadási arány közel sem olyan magas, mint amilyennek kellene lenniük.

Az az igazság, hogy még akkor is, ha úgy dönt, hogy nem használ jelszókezelőt, tisztában kell lennie a hitelesítő adatok kitöltésének támadásait fenyegető veszélyekkel, és győződnie kell arról, hogy a védekezés elégséges-e.