Password degli utenti NordVPN compromessa ed esposta nei forum online

NordVPN Credential Stuffing Attack

Il 21 ottobre NordVPN ha ammesso che gli hacker avevano avuto accesso a un server utilizzato dal provider VPN. Meno di due settimane dopo, venerdì, è diventato evidente che i nomi utente e le password degli utenti di NordVPN sono stati divulgati su forum online pubblici e piattaforme di condivisione come Pastebin. Non sorprende che la gente voglia sapere se esiste una connessione tra i due incidenti.

La violazione segnalata in ottobre si è effettivamente verificata a marzo 2018. NordVPN ha sottolineato rapidamente che è accaduto perché il data center finlandese che gestiva il server compromesso ha commesso un errore. Il post sul blog ha anche sottolineato che gli hacker non hanno avuto accesso a nessun dato personale e che non ci sono prove che suggeriscano che il traffico sia stato monitorato. In altre parole, le credenziali di accesso di cui Dan Goodin di Ars Technica ha parlato per la prima volta il 1 ° novembre non sono state divulgate durante l'attacco di marzo 2018 a NordVPN. Da dove vengono, quindi?

Gli hacker lanciano un attacco di riempimento delle credenziali agli utenti NordVPN

I nomi utente e le password sono stati esposti dopo un attacco di riempimento delle credenziali . In altre parole, sono stati rubati da un altro servizio online che non ha nulla a che fare con NordVPN. Dopo aver rubato i dati di accesso, gli hacker hanno provato le combinazioni di nome utente e password su NordVPN e poiché le persone avevano riutilizzato le stesse credenziali su più siti Web, alcune delle password hanno sbloccato con successo gli account di rete privata virtuale degli utenti. Ancora più preoccupante, la maggior parte delle password che danno accesso alle VPN delle persone sembrano ancora attive.

Dan Goodin ha ricevuto un elenco di 753 indirizzi e-mail e coppie di password in chiaro e, dopo aver contattato un campione degli utenti interessati, ha concluso che tutte le combinazioni tranne una erano valide. L'unica persona che aveva aggiornato la propria password lo ha fatto dopo aver ricevuto la notifica che qualcuno aveva effettuato l'accesso al proprio account.

Purtroppo, il lotto che Goodin ha ricevuto e analizzato è tutt'altro che unico. Disse che Troy Hunt aveva aggiunto non meno di dieci elenchi simili al servizio di notifica di violazione di Have I Been Pwned nel giro di una settimana. Sebbene alcuni degli account appaiano più volte, Dan Goodin ha stimato che almeno 2 mila utenti NordVPN potrebbero essere interessati dall'incidente di riempimento delle credenziali. Rispetto ad altre violazioni, questo numero non sembra particolarmente grande, ma la natura di un account di una rete privata virtuale significa che le conseguenze di comprometterne una potrebbero essere abbastanza devastanti. Quindi, chi è la colpa?

Tutti devono essere più consapevoli dei pericoli legati al riempimento delle credenziali

Come sempre, dire chi è responsabile di un incidente di sicurezza informatica è più complesso di quanto sembri inizialmente.

Ovviamente hai i servizi online che hanno perso le credenziali in primo luogo. Meritano critiche non solo perché non sono riusciti a proteggere i dati di accesso delle persone, ma anche perché non hanno archiviato correttamente le password, il che è evidente dal fatto che le credenziali ora circolano in testo semplice.

Anche NordVPN non è semplicemente una vittima. Come ha sottolineato Dan Goodin, si suppone che si tratti di un servizio online che fornisce alle persone ulteriore sicurezza, eppure la società che addebita denaro per essa non ha messo in atto meccanismi sufficienti per limitare i tassi che avrebbero bloccato i criminali informatici. In una mossa meglio tardi che mai, NordVPN ha detto ad Ars Technica che ora funzionerà su questo problema e svilupperà anche un sistema di autenticazione a due fattori che dovrebbe rendere più difficile la vita degli hacker.

Tuttavia, almeno una parte della colpa dovrebbe essere attribuita anche agli utenti. Per anni, gli esperti di sicurezza informatica hanno usato esempi del mondo reale per insegnare alle persone quanto sia importante la complessità della password, ma le credenziali osservate da Dan Goodin hanno mostrato in modo abbastanza definitivo che il messaggio non è stato trasmesso. Il reporter di Ars Technica ha dichiarato che tutte le password che ha guardato erano deboli. Alcuni erano identici alla prima parte dell'indirizzo e-mail a cui erano associati, altri erano i cognomi degli utenti con un paio di cifre allegate, e altri erano ancora parole del dizionario che possono essere indovinate abbastanza facilmente.

La forza della password (o la sua mancanza) non è nemmeno il problema più grande. Il concetto di riempimento delle credenziali si basa sulle persone che utilizzano combinazioni identiche di nome utente e password per più siti Web. Nonostante il gran numero di incidenti simili che abbiamo visto negli ultimi anni, gli utenti continuano a utilizzare le stesse password per molti diversi servizi online e quindi fanno affidamento su questi servizi per proteggere adeguatamente i propri dati di accesso. Questa chiaramente non è la migliore strategia al giorno d'oggi.

Per un po 'di tempo, ci sono state soluzioni di gestione delle password come Cyclonis Password Manager che possono aiutare le persone a evitare di ripetere gli stessi errori più e più volte, ma per vari motivi diversi, i tassi di adozione non sono affatto così alti come dovrebbero essere.

La verità è che, anche se si sceglie di non utilizzare un gestore di password, è necessario essere consapevoli dei pericoli rappresentati dagli attacchi di imbottigliamento delle credenziali e assicurarsi che le proprie difese siano sufficienti.

November 5, 2019

Lascia un Commento

IMPORTANTE! Per poter procedere, è necessario risolvere la seguente semplice matematica.
Please leave these two fields as is:
Che cos'è 3 + 7?