Hasła użytkowników NordVPN zostały naruszone i ujawnione na forach internetowych

NordVPN Credential Stuffing Attack

21 października NordVPN przyznał, że hakerzy uzyskali dostęp do serwera, z którego korzystał dostawca VPN. Niecałe dwa tygodnie później, w piątek, stało się jasne, że nazwy użytkowników i hasła użytkowników NordVPN zostały ujawnione na publicznych forach internetowych i platformach udostępniania, takich jak Pastebin. Nic dziwnego, że ludzie chcą wiedzieć, czy istnieje związek między tymi dwoma incydentami.

Naruszenie, które zostało zgłoszone w październiku, faktycznie miało miejsce w marcu 2018 r. NordVPN szybko zauważył, że stało się tak, ponieważ fińskie centrum danych, które obsługiwało zainfekowany serwer, popełniło błąd. W blogu wskazano również, że hakerzy nie uzyskali dostępu do żadnych danych osobowych i że nie ma dowodów sugerujących, że każdy ruch był monitorowany. Innymi słowy, dane logowania, o których Dan Goodin z Ars Technica po raz pierwszy mówił 1 listopada, nie zostały ujawnione podczas ataku na NordVPN w marcu 2018 r. Skąd więc pochodzą?

Hakerzy przeprowadzają atak upychania danych uwierzytelniających na użytkowników NordVPN

Nazwy użytkowników i hasła zostały ujawnione po ataku upychania poświadczeń . Innymi słowy, zostały skradzione z innej usługi online, która nie ma nic wspólnego z NordVPN. Po kradzieży danych logowania hakerzy wypróbowali kombinacje nazwy użytkownika i hasła w NordVPN, a ponieważ ludzie ponownie wykorzystali te same dane uwierzytelniające na wielu stronach internetowych, niektóre hasła skutecznie odblokowały wirtualne prywatne konta sieciowe użytkowników. Co bardziej niepokojące, większość haseł zapewniających dostęp do sieci VPN osób nadal wydaje się być aktywna.

Dan Goodin otrzymał listę 753 par adresów e-mail i par tekstowych haseł, a po skontaktowaniu się z próbką użytkowników, których dotyczy problem, doszedł do wniosku, że wszystkie kombinacje oprócz jednej są prawidłowe. Jedyna osoba, która zaktualizowała hasło, zrobiła to po otrzymaniu powiadomienia, że ktoś uzyskał dostęp do ich konta.

Niestety partia otrzymana i przeanalizowana przez Goodina jest daleka od jedynej. Powiedział, że Troy Hunt dodał w ciągu tygodnia nie mniej niż dziesięć podobnych list do usługi powiadamiania o naruszeniu zasad „Czy byłem pwned” . Chociaż niektóre konta pojawiają się wiele razy, Dan Goodin oszacował, że incydent związany z wypełnianiem danych uwierzytelniających może mieć wpływ na co najmniej 2 tysiące użytkowników NordVPN. W porównaniu do innych naruszeń liczba ta nie wydaje się szczególnie duża, ale natura wirtualnego konta w prywatnej sieci oznacza, że konsekwencje złamania jednego z nich mogą być dość druzgocące. Kto jest winny?

Wszyscy muszą być bardziej świadomi niebezpieczeństw związanych z upychaniem poświadczeń

Jak zawsze powiedzenie, kto jest odpowiedzialny za incydent cyberbezpieczeństwa, jest bardziej skomplikowane, niż się wydaje.

Oczywiście masz przede wszystkim usługi online, które utraciły dane uwierzytelniające. Zasługują na krytykę nie tylko dlatego, że nie chronili danych logowania ludzi, ale także dlatego, że nie przechowują haseł poprawnie, co widać po fakcie, że dane uwierzytelniające krążą teraz w postaci zwykłego tekstu.

NordVPN też nie jest tylko ofiarą. Jak zauważył Dan Goodin, ma to być usługa online zapewniająca dodatkowe bezpieczeństwo, jednak firma pobierająca za to pieniądze nie wprowadziła wystarczających mechanizmów ograniczających szybkość, które powstrzymałyby cyberprzestępców. NordVPN powiedział Ars Technica, że lepiej się spóźnia niż nigdy, ale teraz rozwiąże ten problem i opracuje dwuskładnikowy system uwierzytelniania, który utrudni życie hakerów.

Przynajmniej część winy powinna również ponieść użytkownicy. Od lat eksperci ds. Cyberbezpieczeństwa wykorzystują przykłady ze świata rzeczywistego, aby nauczyć ludzi, jak ważna jest złożoność haseł, ale poświadczenia, na które spojrzał Dan Goodin, wskazują zdecydowanie, że wiadomość nie została przekazana. Reporter Ars Technica powiedział, że wszystkie hasła, na które spojrzał, były słabe. Niektóre z nich były identyczne z pierwszą częścią adresu e-mail, z którym zostały sparowane, inne to nazwiska użytkowników z kilkoma cyframi, a inne wciąż były słowami słownikowymi, które można dość łatwo odgadnąć.

Siła hasła (lub jego brak) nie jest nawet największym problemem. Koncepcja upychania referencji opiera się na osobach używających identycznych kombinacji nazwy użytkownika i hasła w wielu witrynach. Pomimo dużej liczby podobnych incydentów, które obserwowaliśmy w ciągu ostatnich kilku lat, użytkownicy nadal używają tych samych haseł do wielu różnych usług online, a następnie polegają na tych usługach, aby odpowiednio chronić swoje dane logowania. To zdecydowanie nie jest najlepsza strategia w dzisiejszych czasach.

Od pewnego czasu istnieją rozwiązania do zarządzania hasłami, takie jak Cyclonis Password Manager, które mogą pomóc ludziom w unikaniu popełniania tych samych błędów w kółko, ale z różnych powodów współczynniki adopcji nie są tak wysokie, jak powinny.

Prawda jest taka, że nawet jeśli zdecydujesz się nie używać menedżera haseł, powinieneś zdawać sobie sprawę z niebezpieczeństw, jakie stanowią ataki z użyciem poświadczeń, i musisz się upewnić, że twoja obrona jest wystarczająca.

Do Duran
November 5, 2019
News
Polski
November 5, 2019
News

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

4 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.