Senhas dos usuários do NordVPN comprometidas e expostas em fóruns on-line

Em 21 de outubro, a NordVPN admitiu que os hackers haviam acessado um servidor usado pelo provedor de VPN. Menos de duas semanas depois, na sexta-feira, tornou-se aparente que os nomes de usuário e senhas dos usuários do NordVPN vazaram em fóruns públicos on-line e plataformas de compartilhamento como o Pastebin. Não surpreendentemente, as pessoas querem saber se há uma conexão entre os dois incidentes.

A violação relatada em outubro ocorreu de fato em março de 2018. A NordVPN rapidamente apontou que isso aconteceu porque o data center finlandês que operava o servidor comprometido cometeu um erro. A postagem do blog também apontou que os hackers não tiveram acesso a nenhum dado pessoal e que não há evidências que sugiram que qualquer tráfego foi monitorado. Em outras palavras, as credenciais de login que Dan Goodin da Ars Technica falou pela primeira vez em 1º de novembro não foram divulgadas durante o ataque de março de 2018 ao NordVPN. De onde eles vieram então?

Hackers lançam um ataque de credencial contra usuários do NordVPN

Os nomes de usuário e senhas foram expostos após um ataque de preenchimento de credenciais . Em outras palavras, eles foram roubados de outro serviço online que não tem nada a ver com o NordVPN. Tendo roubado os dados de login, os hackers tentaram as combinações de nome de usuário e senha no NordVPN e, como as pessoas haviam reutilizado as mesmas credenciais em vários sites, algumas das senhas desbloquearam com êxito as contas virtuais da rede privada dos usuários. Mais preocupante, a maioria das senhas que dão acesso às VPNs das pessoas ainda parece estar ativa.

Dan Goodin recebeu uma lista de 753 pares de endereço de email e senha de texto sem formatação e, após entrar em contato com uma amostra dos usuários afetados, concluiu que todas as combinações, exceto uma, eram válidas. A única pessoa que atualizou sua senha o fez depois de ser notificado de que alguém havia acessado sua conta.

Infelizmente, o lote que Goodin recebeu e analisou está longe de ser o único. Ele disse que Troy Hunt havia acrescentado nada menos que dez listas semelhantes ao serviço de notificação de violação Eu já fui pwned em questão de uma semana. Embora algumas contas apareçam várias vezes, Dan Goodin estimou que pelo menos 2.000 usuários do NordVPN poderiam ser afetados pelo incidente de preenchimento de credenciais. Comparado a outras violações, esse número não parece particularmente grande, mas a natureza de uma conta de rede virtual privada significa que as consequências de comprometer uma podem ser bastante devastadoras. Então quem é o culpado?

Todo mundo precisa estar mais consciente dos perigos do preenchimento de credenciais

Como sempre, dizer quem é responsável por um incidente de segurança cibernética é mais complexo do que parece à primeira vista.

Obviamente, você tem os serviços online que perderam as credenciais em primeiro lugar. Eles merecem críticas não apenas por não terem protegido os dados de login das pessoas, mas também por não terem armazenado as senhas corretamente, o que é evidente pelo fato de que as credenciais agora estão circulando em texto simples.

O NordVPN não é apenas uma vítima, também. Como Dan Goodin apontou, esse deveria ser um serviço on-line que oferece segurança adicional às pessoas, mas a empresa que cobra dinheiro por isso não implementou mecanismos suficientes de limitação de taxas que teriam parado os cibercriminosos. Em uma ação melhor que tarde do que nunca, a NordVPN disse à Ars Technica que agora trabalhará nesse problema e também desenvolverá um sistema de autenticação de dois fatores que deve dificultar a vida dos hackers.

Pelo menos parte da culpa também deve ser atribuída aos usuários. Durante anos, especialistas em segurança cibernética vêm usando exemplos do mundo real para ensinar às pessoas o quão importante é a complexidade das senhas, mas as credenciais que Dan Goodin examinou mostraram, definitivamente, que a mensagem não foi transmitida. O repórter da Ars Technica disse que todas as senhas que ele olhou eram fracas. Alguns deles eram idênticos à primeira parte do endereço de e-mail com o qual estavam emparelhados, outros eram os sobrenomes dos usuários com alguns dígitos anexados e outros ainda eram palavras de dicionário que podem ser adivinhadas com bastante facilidade.

A força da senha (ou a falta dela) nem é o maior problema. O conceito de preenchimento de credenciais depende de pessoas que usam combinações idênticas de nome de usuário e senha para vários sites. Apesar do grande número de incidentes semelhantes que vimos nos últimos anos, os usuários continuam a usar as mesmas senhas para muitos serviços online diferentes e depois confiam nesses serviços para proteger adequadamente seus dados de login. Essa claramente não é a melhor estratégia hoje em dia.

Há algum tempo, existem soluções de gerenciamento de senhas, como o Cyclonis Password Manager, que podem ajudar as pessoas a evitar cometer os mesmos erros repetidamente, mas por várias razões diferentes, as taxas de adoção não estão nem perto do que deveriam ser.

A verdade é que, mesmo se você optar por não usar um gerenciador de senhas, esteja ciente dos perigos que representam ataques de preenchimento de credenciais e certifique-se de que suas defesas sejam suficientes.