NordVPN Users' Passwords Compromised and Exposed on Online Forums
10月21日,NordVPN承認黑客訪問了VPN提供商使用的服務器。不到兩週後的星期五,很明顯NordVPN用戶的用戶名和密碼已在公共在線論壇和諸如Pastebin之類的共享平台上洩露。毫不奇怪,人們想知道兩個事件之間是否存在聯繫。
十月份報告的漏洞實際上發生在2018年3月。NordVPN迅速指出是因為操作受感染服務器的芬蘭數據中心犯了一個錯誤。 博客文章還指出,黑客無法訪問任何個人數據,並且沒有證據表明有人對任何流量進行了監視。換句話說,在2018年3月對NordVPN的攻擊期間,Ars Technica的Dan Goodin在11月1日首次談到的登錄憑據並未洩漏。那麼它們是從哪裡來的呢?
黑客向NordVPN用戶發起憑證填充攻擊
用戶名和密碼在憑據填充攻擊後被公開。換句話說,它們從與NordVPN無關的另一個在線服務中被盜。黑客竊取了登錄數據後,嘗試在NordVPN上使用用戶名和密碼組合,並且由於人們在多個網站上重複使用了相同的憑據,因此某些密碼成功地解鎖了用戶的虛擬專用網絡帳戶。更令人擔憂的是,大多數訪問人們的VPN的密碼似乎仍然處於活動狀態。
Dan Goodin收到了753個電子郵件地址和明文密碼對的列表,在聯繫了受影響的用戶樣本後,他得出結論,除其中一種組合外,其他組合都是有效的。唯一更新密碼的人是在得知有人訪問了其帳戶後才這樣做的。
可悲的是,Goodin收到並分析的批次遠非唯一。他說,特洛伊·亨特(Troy Hunt)在一周左右的時間內就向“我已被盜”違規通知服務添加了不少於十個類似的列表。儘管某些帳戶多次出現,但Dan Goodin估計,至少有2000名NordVPN用戶可能會受到憑據填充事件的影響。與其他違規相比,這個數字似乎並不是特別大,但是虛擬專用網絡帳戶的性質意味著危害一個人的後果可能是相當嚴重的。那麼,誰該怪?
每個人都需要更加意識到憑證填充的危險
與往常一樣,說誰負責網絡安全事件比起初看起來要復雜得多。
您顯然擁有首先丟失憑據的在線服務。他們之所以受到批評,不僅是因為他們未能保護人們的登錄數據,還因為他們沒有正確存儲密碼,這可以通過憑證現在以純文本形式傳播的事實來證明。
NordVPN也不只是受害者. 正如丹·古丁(Dan Goodin)所指出的那樣,這應該是為人們提供額外安全性的在線服務,但是為此收費的公司並沒有建立足夠的限速機制來阻止網絡犯罪分子。 NordVPN比以往任何時候都要好,它告訴Ars Technica,它現在將解決此問題,還將開發一種兩因素身份驗證系統,該系統將使黑客的生活更加艱難。
不過,至少應該歸咎於用戶。多年以來,網絡安全專家一直在使用真實的示例來教人們密碼複雜性的重要性,但是Dan Goodin所查看的憑據明確表明該消息並未傳播。 Ars Technica的記者說,他查看的所有密碼都很弱。其中一些與配對的電子郵件地址的第一部分相同,其他一些是用戶的姓氏,並附加了幾個數字,而其他一些仍然是可以很容易猜到的字典單詞。
密碼強度(或缺少密碼強度)甚至不是最大的問題。憑據填充的概念取決於人們對多個網站使用相同的用戶名和密碼組合。儘管在過去幾年中發生了大量類似的事件,但用戶繼續對許多不同的在線服務使用相同的密碼,然後他們依靠這些服務來充分保護其登錄數據。顯然,這不是當今時代的最佳策略。
一段時間以來,出現了諸如Cyclonis Password Manager之類的密碼管理解決方案,該解決方案可以幫助人們避免一遍又一遍地犯同樣的錯誤,但是由於各種不同的原因,採用率遠沒有達到應有的水平。
事實是,即使您選擇不使用密碼管理器,也應注意憑據填充攻擊所帶來的危險,並且必須確保您的防禦足夠。