NordVPN-användarnas lösenord komprometteras och exponeras på online-forum

Den 21 oktober medgav NordVPN att hackare hade åtkomst till en server som användes av VPN-leverantören. Mindre än två veckor senare, på fredag, blev det uppenbart att användarnamn och lösenord för NordVPN-användare har läckt ut på offentliga onlineforum och delningsplattformar som Pastebin. Inte överraskande vill människor veta om det finns en koppling mellan de två incidenterna.

Överträdelsen som rapporterades i oktober inträffade faktiskt i mars 2018. NordVPN var snabbt att påpeka att det hände eftersom det finska datacentret som driver den komprometterade servern gjorde ett misstag. Blogginlägget påpekade också att hackarna inte fick tillgång till någon personlig information och att det inte finns några bevis som tyder på att någon trafik övervakades. Med andra ord, de inloggningsuppgifter som Ars Technicas Dan Goodin först talade om den 1 november, läcktes inte under mars 2018: s attack på NordVPN. Var kom de ifrån, då?

Hackare startar en referensstoppattack på NordVPN-användare

Användarnamn och lösenord exponerades efter en referensattack . Med andra ord staldes de från en annan onlinetjänst som inte har något att göra med NordVPN. Efter att ha stulit inloggningsdata försökte hackarna användarnamn och lösenordskombinationer på NordVPN, och eftersom människor hade använt samma referenser på flera webbplatser, har några av lösenorden låst upp användarnas virtuella privata nätverkskonton. Mer oroande verkar de flesta av lösenorden som ger tillgång till människors VPN: n fortfarande vara aktiva.

Dan Goodin fick en lista med 753 e-postadress och lösenordspar i klartext, och efter att ha kontaktat ett urval av de drabbade användarna drog han slutsatsen att alla utom en av kombinationerna var giltiga. Den enda som hade uppdaterat sitt lösenord gjorde det efter att ha fått meddelande om att någon hade öppnat sitt konto.

Tyvärr är partiet som Goodin har tagit emot och analyserat långt ifrån det enda. Han sa att Troy Hunt hade lagt till inte färre än tio liknande listor till tjänsten Have I Been Pwned- överträdelse under en vecka. Även om en del av kontona visas flera gånger, uppskattade Dan Goodin att minst 2 000 NordVPN-användare kan påverkas av referenshändelsen. Jämfört med andra överträdelser verkar detta nummer inte särskilt stort, men arten av ett virtuellt privat nätverkskonto gör att konsekvenserna av att kompromissa med ett kan vara ganska förödande. Så vem är skylden?

Alla måste vara mer medvetna om farorna med påtryckningsstoppning

Som alltid är det mer komplicerat att säga vem som är ansvarig för en cybersäkerhetshändelse än det verkar i början.

Du har uppenbarligen de onlinetjänster som förlorade referenser till att börja med. De förtjänar kritik inte bara för att de inte lyckades skydda människors inloggningsdata, utan också för att de inte lagrade lösenorden korrekt, vilket framgår av det faktum att uppgifterna nu sprids i vanlig text.

NordVPN är inte heller bara ett offer. Som Dan Goodin påpekade ska detta vara en onlinetjänst som ger människor extra säkerhet, men företaget som tar ut pengar för det har inte infört tillräckliga taxbegränsande mekanismer som skulle ha stoppat cyberbrottslingarna. I ett bättre-sent-än-aldrig drag, berättade NordVPN Ars Technica att det nu kommer att fungera med detta problem och också kommer att utveckla ett tvåfaktors autentiseringssystem som bör göra hackarnas liv svårare.

Åtminstone en del av skulden borde också gå till användarna. I åratal har cybersäkerhetsexperter använt exempel i verkligheten för att lära människor hur viktigt lösenordskomplexitet är, men referenser Dan Goodin tittade på visade ganska definitivt att meddelandet inte har gått igenom. Ars Technicas reportern sa att alla lösenord han tittade på var svaga. Vissa av dem var identiska med den första delen av e-postadressen som de var ihopkopplade med, andra var användarens efternamn med ett par siffror knutna till dem, och andra var fortfarande ordbok som kan gissas ganska enkelt.

Lösenordsstyrkan (eller bristen på det) är inte ens det största problemet. Konceptet med referensstoppning beror på personer som använder identiska användarnamn och lösenordskombinationer för flera webbplatser. Trots det stora antalet liknande incidenter som vi har sett under de senaste åren fortsätter användarna att använda samma lösenord för många olika onlinetjänster, och de litar sedan på dessa tjänster för att tillräckligt skydda sina inloggningsuppgifter. Detta är helt klart inte den bästa strategin i dag och ålder.

Under ett tag har det funnits lösningar för hantering av lösenord som Cyclonis Password Manager som kan hjälpa människor att undvika att göra samma misstag om och om igen, men av olika skäl är adoptionsgraden ingenstans nära så höga som de borde vara.

Sanningen är, även om du väljer att inte använda en lösenordshanterare, bör du vara medveten om farorna som referensattacker utgör, och du måste se till att dina försvar är tillräckliga.