Hasła użytkowników NordVPN zostały naruszone i ujawnione na forach internetowych

NordVPN Credential Stuffing Attack

21 października NordVPN przyznał, że hakerzy uzyskali dostęp do serwera, z którego korzystał dostawca VPN. Niecałe dwa tygodnie później, w piątek, stało się jasne, że nazwy użytkowników i hasła użytkowników NordVPN zostały ujawnione na publicznych forach internetowych i platformach udostępniania, takich jak Pastebin. Nic dziwnego, że ludzie chcą wiedzieć, czy istnieje związek między tymi dwoma incydentami.

Naruszenie, które zostało zgłoszone w październiku, faktycznie miało miejsce w marcu 2018 r. NordVPN szybko zauważył, że stało się tak, ponieważ fińskie centrum danych, które obsługiwało zainfekowany serwer, popełniło błąd. W blogu wskazano również, że hakerzy nie uzyskali dostępu do żadnych danych osobowych i że nie ma dowodów sugerujących, że każdy ruch był monitorowany. Innymi słowy, dane logowania, o których Dan Goodin z Ars Technica po raz pierwszy mówił 1 listopada, nie zostały ujawnione podczas ataku na NordVPN w marcu 2018 r. Skąd więc pochodzą?

Hakerzy przeprowadzają atak upychania danych uwierzytelniających na użytkowników NordVPN

Nazwy użytkowników i hasła zostały ujawnione po ataku upychania poświadczeń . Innymi słowy, zostały skradzione z innej usługi online, która nie ma nic wspólnego z NordVPN. Po kradzieży danych logowania hakerzy wypróbowali kombinacje nazwy użytkownika i hasła w NordVPN, a ponieważ ludzie ponownie wykorzystali te same dane uwierzytelniające na wielu stronach internetowych, niektóre hasła skutecznie odblokowały wirtualne prywatne konta sieciowe użytkowników. Co bardziej niepokojące, większość haseł zapewniających dostęp do sieci VPN osób nadal wydaje się być aktywna.

Dan Goodin otrzymał listę 753 par adresów e-mail i par tekstowych haseł, a po skontaktowaniu się z próbką użytkowników, których dotyczy problem, doszedł do wniosku, że wszystkie kombinacje oprócz jednej są prawidłowe. Jedyna osoba, która zaktualizowała hasło, zrobiła to po otrzymaniu powiadomienia, że ktoś uzyskał dostęp do ich konta.

Niestety partia otrzymana i przeanalizowana przez Goodina jest daleka od jedynej. Powiedział, że Troy Hunt dodał w ciągu tygodnia nie mniej niż dziesięć podobnych list do usługi powiadamiania o naruszeniu zasad „Czy byłem pwned” . Chociaż niektóre konta pojawiają się wiele razy, Dan Goodin oszacował, że incydent związany z wypełnianiem danych uwierzytelniających może mieć wpływ na co najmniej 2 tysiące użytkowników NordVPN. W porównaniu do innych naruszeń liczba ta nie wydaje się szczególnie duża, ale natura wirtualnego konta w prywatnej sieci oznacza, że konsekwencje złamania jednego z nich mogą być dość druzgocące. Kto jest winny?

Wszyscy muszą być bardziej świadomi niebezpieczeństw związanych z upychaniem poświadczeń

Jak zawsze powiedzenie, kto jest odpowiedzialny za incydent cyberbezpieczeństwa, jest bardziej skomplikowane, niż się wydaje.

Oczywiście masz przede wszystkim usługi online, które utraciły dane uwierzytelniające. Zasługują na krytykę nie tylko dlatego, że nie chronili danych logowania ludzi, ale także dlatego, że nie przechowują haseł poprawnie, co widać po fakcie, że dane uwierzytelniające krążą teraz w postaci zwykłego tekstu.

NordVPN też nie jest tylko ofiarą. Jak zauważył Dan Goodin, ma to być usługa online zapewniająca dodatkowe bezpieczeństwo, jednak firma pobierająca za to pieniądze nie wprowadziła wystarczających mechanizmów ograniczających szybkość, które powstrzymałyby cyberprzestępców. NordVPN powiedział Ars Technica, że lepiej się spóźnia niż nigdy, ale teraz rozwiąże ten problem i opracuje dwuskładnikowy system uwierzytelniania, który utrudni życie hakerów.

Przynajmniej część winy powinna również ponieść użytkownicy. Od lat eksperci ds. Cyberbezpieczeństwa wykorzystują przykłady ze świata rzeczywistego, aby nauczyć ludzi, jak ważna jest złożoność haseł, ale poświadczenia, na które spojrzał Dan Goodin, wskazują zdecydowanie, że wiadomość nie została przekazana. Reporter Ars Technica powiedział, że wszystkie hasła, na które spojrzał, były słabe. Niektóre z nich były identyczne z pierwszą częścią adresu e-mail, z którym zostały sparowane, inne to nazwiska użytkowników z kilkoma cyframi, a inne wciąż były słowami słownikowymi, które można dość łatwo odgadnąć.

Siła hasła (lub jego brak) nie jest nawet największym problemem. Koncepcja upychania referencji opiera się na osobach używających identycznych kombinacji nazwy użytkownika i hasła w wielu witrynach. Pomimo dużej liczby podobnych incydentów, które obserwowaliśmy w ciągu ostatnich kilku lat, użytkownicy nadal używają tych samych haseł do wielu różnych usług online, a następnie polegają na tych usługach, aby odpowiednio chronić swoje dane logowania. To zdecydowanie nie jest najlepsza strategia w dzisiejszych czasach.

Od pewnego czasu istnieją rozwiązania do zarządzania hasłami, takie jak Cyclonis Password Manager, które mogą pomóc ludziom w unikaniu popełniania tych samych błędów w kółko, ale z różnych powodów współczynniki adopcji nie są tak wysokie, jak powinny.

Prawda jest taka, że nawet jeśli zdecydujesz się nie używać menedżera haseł, powinieneś zdawać sobie sprawę z niebezpieczeństw, jakie stanowią ataki z użyciem poświadczeń, i musisz się upewnić, że twoja obrona jest wystarczająca.

November 5, 2019

Zostaw odpowiedź

WAŻNY! Aby móc kontynuować, musisz rozwiązać następującą prostą matematykę.
Please leave these two fields as is:
Co to jest 9 + 4?