NordVPN naudotojų slaptažodžiai sugadinti ir paviešinti internetiniuose forumuose

Spalio 21 dieną „NordVPN“ prisipažino, kad įsilaužėliai pasiekė serverį, kuriuo naudojosi VPN teikėjas. Mažiau nei po dviejų savaičių, penktadienį, paaiškėjo, kad „NordVPN“ vartotojų vardai ir slaptažodžiai buvo nutekinti viešuose internetiniuose forumuose ir dalijimosi platformose, tokiose kaip „Pastebin“. Nenuostabu, kad žmonės nori sužinoti, ar tarp šių dviejų įvykių yra ryšys.

Pažeidimas, apie kurį buvo pranešta spalio mėn., Iš tikrųjų įvyko 2018 m. Kovo mėn. „NordVPN“ greitai pabrėžė, kad jis įvyko, nes sugadintą serverį valdantis Suomijos duomenų centras padarė klaidą. Tinklaraščio įraše taip pat pažymėta, kad įsilaužėliai neturėjo prieigos prie jokių asmeninių duomenų ir kad nėra jokių įrodymų, kad bet koks srautas buvo stebimas. Kitaip tariant, prisijungimo duomenys, apie kuriuos „Ars Technica“ Danas Goodinas pirmą kartą kalbėjo lapkričio 1 d., Nebuvo nutekinti per 2018 m. Kovo mėn. Išpuolį prieš „NordVPN“. Tada iš kur jie atsirado?

Piratai pradeda „NordVPN“ vartotojų akreditacijos įdaro ataką

Vartotojų vardai ir slaptažodžiai buvo atskleisti po kredencialų užpildymo atakos . Kitaip tariant, jie buvo pavogti iš kitos internetinės paslaugos, kuri neturi nieko bendra su „NordVPN“. Pagrobę prisijungimo duomenis, įsilaužėliai išbandė naudotojo vardo ir slaptažodžio derinius „NordVPN“, o kadangi žmonės pakartotinai panaudojo tuos pačius kredencialus keliose svetainėse, kai kurie slaptažodžiai sėkmingai atrakino vartotojų virtualiojo privataus tinklo paskyras. Labiau nerimaujama, kad dauguma slaptažodžių, suteikiančių prieigą prie žmonių VPN, vis dar atrodo aktyvūs.

Danas Goodinas gavo 753 el. Pašto adresų ir paprasto teksto slaptažodžių porų sąrašą, o susisiekęs su paveiktų vartotojų pavyzdžiu padarė išvadą, kad visi deriniai, išskyrus vieną, galioja. Vienintelis asmuo, atnaujinęs slaptažodį, tai padarė po to, kai gavo pranešimą, kad kažkas prisijungė prie jų paskyros.

Deja, gauta ir išanalizuota „Goodin“ partija toli gražu nėra vienintelė. Jis sakė, kad Troy Hunt per savaitę pridėjo ne mažiau kaip dešimt panašių sąrašų į pranešimo apie pažeidimus paslaugą „ Ar aš buvau“ . Nors kai kurios sąskaitos rodomos kelis kartus, Danas Goodinas apskaičiavo, kad kredencialų įdaro įvykis galėjo paveikti mažiausiai 2 tūkstančius „NordVPN“ vartotojų. Palyginti su kitais pažeidimais, šis skaičius neatrodo ypač didelis, tačiau virtualaus privataus tinklo sąskaitos pobūdis reiškia, kad kompromituoti padarinius gali būti gana niokojančių. Taigi, kas kaltas?

Visi turi daugiau žinoti apie kredencialų įdaro pavojų

Kaip visada pasakyti, kas atsakingas už kibernetinio saugumo incidentą, yra sudėtingiau, nei atrodo iš pradžių.

Aišku, turite internetines paslaugas, kurios prarado įgaliojimus. Jie nusipelno kritikos ne tik dėl to, kad nesugebėjo apsaugoti žmonių prisijungimo duomenų, bet ir dėl to, kad neteisingai išsaugojo slaptažodžius, o tai rodo faktas, kad įgaliojimai dabar cirkuliuoja paprastu tekstu.

„NordVPN“ taip pat nėra tik auka. Kaip pažymėjo Danas Goodinas, manoma, kad tai yra internetinė paslauga, teikianti žmonėms papildomą saugumą, tačiau už tai pinigus imanti įmonė neparengė pakankamai tarifus ribojančių mechanizmų, kurie sustabdytų kibernetinius nusikaltėlius. Geriau vėluodamas nei niekada, „NordVPN“ sakė „Ars Technica“, kad dabar spręs šią problemą ir taip pat parengs dviejų veiksnių autentifikavimo sistemą, kuri turėtų apsunkinti įsilaužėlių gyvenimą.

Vis dėlto bent jau dalis kaltės turėtų tekti ir vartotojams. Daugelį metų kibernetinio saugumo ekspertai naudojo realaus pasaulio pavyzdžius, kad išmokytų žmones, koks svarbus slaptažodžio sudėtingumas, tačiau Dano Goodino pažvelgti duomenys gana aiškiai parodė, kad žinia dar nebuvo perduota. „Ars Technica“ žurnalistas teigė, kad visi slaptažodžiai, į kuriuos jis žiūrėjo, buvo silpni. Kai kurie iš jų buvo identiški pirmajai el. Pašto adresų daliai, su kuriais jie buvo suporuoti, kiti buvo vartotojo pavardės su prie jų pridėta pora skaitmenų, kiti dar buvo žodyno žodžiai, kuriuos galima gana lengvai atspėti.

Slaptažodis (ar jo nebuvimas) nėra net pati didžiausia problema. Kredencialų įdaro sąvoka priklauso nuo to, ar žmonės naudoja tas pačias vartotojo vardo ir slaptažodžio kombinacijas keliose svetainėse. Nepaisant daugybės panašių incidentų, kuriuos matėme per pastaruosius kelerius metus, vartotojai ir toliau naudoja tuos pačius slaptažodžius daugeliui skirtingų internetinių paslaugų, o paskui naudojasi tomis paslaugomis, kad tinkamai apsaugotų prisijungimo duomenis. Tai akivaizdžiai nėra geriausia strategija šiais laikais.

Jau kurį laiką egzistuoja slaptažodžių tvarkymo sprendimai, tokie kaip „ Cyclonis Password Manager“, kurie gali padėti žmonėms vėl ir vėl išvengti tų pačių klaidų, tačiau dėl įvairių skirtingų priežasčių priėmimo dažnumas niekur nėra toks didelis, koks turėtų būti.

Tiesa, net jei nesinaudosite slaptažodžių tvarkytuve, turėtumėte žinoti apie pavojus, kuriuos kelia kredencialų užpildymo išpuoliai, ir turite įsitikinti, kad jūsų gynyba yra pakankama.