NordVPN Users' Passwords Compromised and Exposed on Online Forums

NordVPN Credential Stuffing Attack

10月21日,NordVPN承认黑客访问了VPN提供商使用的服务器。不到两周后的星期五,很明显NordVPN用户的用户名和密码已在公共在线论坛和诸如Pastebin之类的共享平台上泄露。毫不奇怪,人们想知道两个事件之间是否存在联系。

十月份报告的漏洞实际上发生在2018年3月。NordVPN迅速指出是因为操作受感染服务器的芬兰数据中心犯了一个错误。 博客文章还指出,黑客无法访问任何个人数据,并且没有证据表明有人对任何流量进行了监视。换句话说,在2018年3月对NordVPN的攻击期间,Ars Technica的Dan Goodin在11月1日首次谈到的登录凭据并未泄漏。那么它们是从哪里来的呢?

黑客向NordVPN用户发起凭证填充攻击

用户名和密码在凭据填充攻击后被公开。换句话说,它们从与NordVPN无关的另一个在线服务中被盗。黑客窃取了登录数据后,尝试在NordVPN上使用用户名和密码组合,并且由于人们在多个网站上重复使用了相同的凭据,因此某些密码成功地解锁了用户的虚拟专用网络帐户。更令人担忧的是,大多数访问人们的VPN的密码似乎仍然处于活动状态。

Dan Goodin收到了753个电子邮件地址和明文密码对的列表,在联系了受影响的用户样本后,他得出结论,除其中一种组合外,其他组合都是有效的。唯一更新密码的人是在得知有人访问了其帐户后才这样做的。

可悲的是,Goodin收到并分析的批次远非唯一。他说,特洛伊·亨特(Troy Hunt)在一周左右的时间内就向“我已被盗”违规通知服务添加了不少于十个类似的列表。尽管某些帐户多次出现,但Dan Goodin估计,至少有2000名NordVPN用户可能会受到凭据填充事件的影响。与其他违规相比,这个数字似乎并不是特别大,但是虚拟专用网络帐户的性质意味着危害一个人的后果可能是相当严重的。那么,谁该怪?

每个人都需要更加意识到凭证填充的危险

与往常一样,说谁负责网络安全事件比起初看起来要复杂得多。

您显然拥有首先丢失凭据的在线服务。他们之所以受到批评,不仅是因为他们未能保护人们的登录数据,还因为他们没有正确存储密码,这可以通过凭证现在以纯文本形式传播的事实来证明。

NordVPN也不只是受害者. 正如丹·古丁(Dan Goodin)所指出的那样,这应该是为人们提供额外安全性的在线服务,但是为此收费的公司并没有建立足够的限速机制来阻止网络犯罪分子。 NordVPN比以往任何时候都要好,NordVPN告诉Ars Technica,它现在将解决此问题,还将开发一种两因素身份验证系统,该系统将使黑客的生活更加艰难。

不过,至少应该归咎于用户。多年以来,网络安全专家一直在使用真实的示例来教人们密码复杂性的重要性,但Dan Goodin所查看的凭据明确表明该消息并未传播。 Ars Technica的记者说,他查看的所有密码都很弱。其中一些与配对的电子邮件地址的第一部分相同,其他一些则是用户的姓氏,并附加了几个数字,而其他一些仍然是可以很容易猜到的字典单词。

密码强度(或缺少密码强度)甚至不是最大的问题。凭据填充的概念取决于人们对多个网站使用相同的用户名和密码组合。尽管在过去几年中发生了很多类似的事件,但用户继续对许多不同的在线服务使用相同的密码,然后他们依靠这些服务来充分保护其登录数据。显然,这不是当今时代的最佳策略。

一段时间以来,出现了诸如Cyclonis Password Manager之类的密码管理解决方案,可以帮助人们避免一遍又一遍地犯同样的错误,但是由于各种不同的原因,采用率远没有达到应有的水平。

事实是,即使您选择不使用密码管理器,也应该意识到凭据填充攻击所带来的危险,并且必须确保您的防御足够。

November 5, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
4 + 2是什么?