NordVPN gebruikerswachtwoorden gecompromitteerd en blootgesteld op online forums

Op 21 oktober gaf NordVPN toe dat hackers toegang hadden tot een server die door de VPN-provider werd gebruikt. Minder dan twee weken later, op vrijdag, werd duidelijk dat de gebruikersnamen en wachtwoorden van NordVPN-gebruikers zijn gelekt op openbare online forums en deelplatforms zoals Pastebin. Het is niet verrassend dat mensen willen weten of er een verband is tussen de twee incidenten.

De inbreuk die in oktober werd gemeld, vond eigenlijk plaats in maart 2018. NordVPN wees er snel op dat het gebeurde omdat het Finse datacenter dat de gecompromitteerde server beheerde, een fout heeft gemaakt. De blogpost wees er ook op dat de hackers geen toegang hebben gekregen tot persoonlijke gegevens en dat er geen aanwijzingen zijn dat er verkeer is gemonitord. Met andere woorden, de inloggegevens waar Dan Goodin van Ars Technica voor het eerst over sprak op 1 november, waren niet gelekt tijdens de aanval van maart 2018 op NordVPN. Waar kwamen ze dan vandaan?

Hackers lanceren een referentie-opvul aanval op NordVPN-gebruikers

De gebruikersnamen en wachtwoorden werden zichtbaar na een opvul-aanval . Met andere woorden, ze zijn gestolen van een andere online service die niets met NordVPN te maken heeft. Na de inloggegevens te hebben gestolen, probeerden de hackers de gebruikersnaam en wachtwoordcombinaties op NordVPN, en omdat mensen dezelfde inloggegevens op meerdere websites hadden hergebruikt, hebben sommige van de wachtwoorden met succes de virtuele privé-netwerkaccounts van gebruikers ontgrendeld. Zorgwekkender is dat de meeste wachtwoorden die toegang geven tot VPN's van mensen nog steeds actief lijken te zijn.

Dan Goodin ontving een lijst met 753 e-mailadressen en wachtwoordparen in platte tekst, en nadat hij contact had opgenomen met een steekproef van de getroffen gebruikers, concludeerde hij dat alle combinaties op één na geldig waren. De enige persoon die zijn wachtwoord had bijgewerkt, deed dit nadat hij een melding had gekregen dat iemand toegang had gehad tot zijn account.

Helaas is de batch die Goodin heeft ontvangen en geanalyseerd verre van de enige. Hij zei dat Troy Hunt niet minder dan tien vergelijkbare lijsten had toegevoegd aan de notificatieservice Have I Been Pwned- inbreuk in een kwestie van een week. Hoewel sommige accounts meerdere keren worden weergegeven, schatte Dan Goodin dat ten minste tweeduizend NordVPN-gebruikers kunnen worden getroffen door het incidenten met inloggegevens. In vergelijking met andere inbreuken lijkt dit aantal niet bijzonder groot, maar de aard van een virtueel privaat netwerkaccount betekent dat de gevolgen van het compromitteren ervan behoorlijk verwoestend kunnen zijn. Dus, wie is de schuldige?

Iedereen moet zich meer bewust zijn van de gevaren van het vullen van referenties

Zoals altijd is het moeilijker om te zeggen wie verantwoordelijk is voor een cybersecurity-incident.

U hebt duidelijk de online services die in de eerste plaats de inloggegevens zijn kwijtgeraakt. Ze verdienen kritiek, niet alleen omdat ze de inloggegevens van mensen niet hebben beschermd, maar ook omdat ze de wachtwoorden niet correct hebben opgeslagen, wat blijkt uit het feit dat de referenties nu in gewone tekst circuleren.

NordVPN is ook niet alleen een slachtoffer. Zoals Dan Goodin aangaf, wordt dit verondersteld een online service te zijn die mensen extra veiligheid biedt, maar het bedrijf dat hiervoor geld in rekening brengt, heeft niet voldoende tariefbeperkende mechanismen ingesteld die de cybercriminelen zouden hebben gestopt. In een beter-laat-dan-nooit-beweging vertelde NordVPN aan Ars Technica dat het nu aan dit probleem zal werken en ook een tweefactorauthenticatiesysteem zal ontwikkelen dat het leven van hackers moeilijker zou moeten maken.

Maar ten minste een deel van de schuld moet ook bij de gebruikers liggen. Jarenlang hebben cybersecurity-experts voorbeelden uit de praktijk gebruikt om mensen te leren hoe belangrijk wachtwoordcomplexiteit is, maar de referenties die Dan Goodin bekeek, toonden vrij definitief dat de boodschap niet is overgekomen. De verslaggever van Ars Technica zei dat alle wachtwoorden waarnaar hij keek zwak waren. Sommigen van hen waren identiek aan het eerste deel van het e-mailadres waarmee ze waren gekoppeld, anderen waren de achternamen van de gebruikers met een paar cijfers eraan gehecht, en anderen waren nog steeds woordenboekwoorden die vrij gemakkelijk kunnen worden geraden.

De wachtwoordsterkte (of het ontbreken daarvan) is niet eens het grootste probleem. Het concept van credential stuffing is afhankelijk van mensen die identieke gebruikersnaam en wachtwoordcombinaties gebruiken voor meerdere websites. Ondanks het grote aantal vergelijkbare incidenten dat we de afgelopen jaren hebben gezien, blijven gebruikers dezelfde wachtwoorden gebruiken voor veel verschillende online services en vertrouwen ze vervolgens op deze services om hun inloggegevens afdoende te beschermen. Dit is duidelijk niet de beste strategie in deze tijd.

Sinds een tijdje zijn er oplossingen voor wachtwoordbeheer, zoals de Cyclonis Password Manager, die mensen kunnen helpen steeds weer dezelfde fouten te maken, maar om verschillende redenen zijn de adoptiegraden lang niet zo hoog als ze zouden moeten zijn.

De waarheid is dat, zelfs als u ervoor kiest om geen wachtwoordbeheerder te gebruiken, u zich bewust moet zijn van de gevaren die aanvallen met referentiespanning met zich meebrengen, en u moet ervoor zorgen dat uw verdediging voldoende genoeg is.