NordVPNユーザーのパスワードが侵害され、オンラインフォーラムで公開される

NordVPN Credential Stuffing Attack

10月21日、NordVPNは、ハッカーがVPNプロバイダーが使用するサーバーにアクセスしたことを認めました。 2週間もたたない金曜日に、NordVPNユーザーのユーザー名とパスワードが公開オンラインフォーラムとPastebinのような共有プラットフォームで漏洩したことが明らかになりました。驚くことではないが、人々は2つの事件の間に関係があるかどうかを知りたい。

10月に報告された侵害は、実際には2018年3月に発生しました。NordVPNは、侵害されたサーバーを運用しているフィンランドのデータセンターがミスを犯したために起こったことをすぐに指摘しました。 また、このブログ投稿では、ハッカーが個人データにアクセスできず、トラフィックが監視されたことを示唆する証拠がないことも指摘されています。言い換えれば、Ars TechnicaのDan Goodinが11月1日に最初に話したログイン資格情報は、2018年3月のNordVPNへの攻撃中に漏洩しませんでした。彼らはどこから来たのですか?

ハッカーがNordVPNユーザーにクレデンシャルスタッフィング攻撃を開始

ユーザー名とパスワードは、クレデンシャルスタッフィング攻撃の後に公開されまし 。つまり、NordVPNとは関係のない別のオンラインサービスから盗まれたということです。ログインデータを盗んだハッカーは、NordVPNでユーザー名とパスワードの組み合わせを試しました。複数のWebサイトで同じ資格情報を再利用したため、パスワードの一部がユーザーの仮想プライベートネットワークアカウントを正常にロック解除しました。さらに心配なのは、人々のVPNへのアクセスを許可するパスワードのほとんどがまだアクティブになっているように見えることです。

Dan Goodinは753の電子メールアドレスとプレーンテキストのパスワードのペアのリストを受け取り、影響を受けたユーザーのサンプルに連絡した後、1つを除くすべての組み合わせが有効であると結論付けました。パスワードを更新した唯一の人は、誰かが自分のアカウントにアクセスしたという通知を受け取った後にそうしました。

悲しいことに、グッディンが受け取って分析したバッチは、唯一のものではありません。彼は、トロイハントが1週間以内にHave I Been Pwned侵害通知サービスに10個以上の類似リストを追加したと述べました。一部のアカウントは複数回表示されますが、Dan Goodinは、少なくとも2,000のNordVPNユーザーが資格情報の詰め込み事件の影響を受ける可能性があると推定しました。他の侵害と比較して、この数は特に大きいようには見えませんが、仮想プライベートネットワークアカウントの性質は、侵害の結果がかなり壊滅的なものになる可能性があることを意味します。だから、誰が非難するのですか?

誰もがクレデンシャルスタッフィングの危険性を認識する必要があります

いつものように、サイバーセキュリティ事件の責任者を言うことは、最初に現れるよりも複雑です。

そもそも、資格情報を失ったオンラインサービスがあります。人々のログインデータを保護できなかっただけでなく、パスワードを正しく保存しなかったという理由でも批判に値します。これは、クレデンシャルがプレーンテキストで流通しているという事実から明らかです。

NordVPNも単なる被害者ではありません. Dan Goodinが指摘したように、これは人々に追加のセキュリティを提供するオンラインサービスであると想定されていますが、料金を請求する会社は、サイバー犯罪者を阻止する十分なレート制限メカニズムを導入していません。 NordVPNは、これまでにない動きでArs Technicaに、この問題に取り組むとともに、ハッカーの生活をより困難にする2要素認証システムを開発することを伝えました。

ただし、少なくとも一部の責任はユーザーにも及ぶはずです。長年にわたって、サイバーセキュリティの専門家は実世界の例を使用して、パスワードの複雑さの重要性を人々に教えてきましたが、ダン・グディンが見た資格情報は、メッセージが伝わっていないことをかなり明確に示しました。 Ars Technicaの記者は、彼が見たパスワードはすべて弱いと言った。それらの一部は、ペアリングされた電子メールアドレスの最初の部分と同一であり、その他は数桁の数字が付加されたユーザーの姓であり、その他はかなり簡単に推測できる辞書の単語でした。

パスワードの強度(またはその不足)は最大の問題ではありません。クレデンシャルスタッフィングの概念は、複数のWebサイトで同一のユーザー名とパスワードの組み合わせを使用する人々に依存しています。過去数年間に見られた同様の事件が多数発生しているにもかかわらず、ユーザーは多くの異なるオンラインサービスで同じパスワードを使用し続け、ログインデータを適切に保護するためにこれらのサービスに依存しています。これは明らかに、この日と時代の最良の戦略ではありません。

しばらくの間、 Cyclonis Password Managerのようなパスワード管理ソリューションがありました。これは、人々が何度も同じ間違いをすることを避けるのに役立ちますが、さまざまな理由から、採用率は本来の高さにほど遠いです。

真実は、パスワードマネージャーを使用しないことを選択した場合でも、クレデンシャルスタッフィング攻撃がもたらす危険に注意する必要があり、防御が十分であることを確認する必要があります。

Duran
November 5, 2019
News
日本語
November 5, 2019
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。