Les mots de passe des utilisateurs NordVPN exposés lors d'attaques massives de remplissage d'informations d'identification
Environ 2 000 utilisateurs de NordVPN, le service de réseau privé virtuel qui a récemment révélé un piratage de serveur qui a révélé des clés cryptographiques, ont été victimes d'attaques de remplissage des informations d'identification permettant un accès non autorisé à leurs comptes.
Ces dernières semaines, les identifiants des utilisateurs de NordVPN ont circulé dans Pastebin et d’autres forums en ligne. Ils contiennent les adresses électroniques, les mots de passe en texte brut et les dates d'expiration associés aux comptes d'utilisateur NordVPN.
Jeudi, j'ai reçu une liste de 753 lettres de créance et interrogé un petit échantillon d'utilisateurs. Les mots de passe énumérés pour tous sauf un étaient encore utilisés. Le seul utilisateur qui a changé son mot de passe l'a fait après avoir reçu un courrier électronique de réinitialisation de mot de passe non sollicité. Apparemment, une personne ayant obtenu un accès non autorisé tentait de reprendre le compte. Plusieurs autres personnes ont déclaré que leurs comptes avaient été consultés par des personnes non autorisées.
Au cours de la semaine écoulée, notification de non-conformité J'ai été pwned Il a signalé au moins 10 listes d’identifiants NordVPN similaires à celles que j’ai obtenues.
Certains comptes sont susceptibles d'apparaître sur plusieurs listes, mais le nombre de comptes d'utilisateurs dépasse facilement les 2 000. De plus, un grand nombre d'adresses électroniques figurant sur la liste que j'ai reçue n'ont pas du tout été indexées par J'ai reçu une réponse, ce qui indique que certaines informations d'identification compromises sont toujours filtrées pour l'affichage public. La plupart des pages Web qui hébergent ces informations d'identification ont été supprimées, mais au moment de la publication de cette publication, il en restait au moins une disponible à Pastebin, bien qu'Ars ait attiré son attention plus de 17 heures auparavant sur NordVPN.
Sans exception, tous les mots de passe en texte brut sont faibles. Dans certains cas, il s’agit de la chaîne de caractères située à gauche du signe @ dans l’adresse électronique. Dans d'autres cas, ce sont des mots que l'on retrouve dans la plupart des dictionnaires. D'autres semblent être des noms de famille, parfois accompagnés de deux ou trois chiffres à la fin. Ces traits communs signifient que la manière la plus probable de rendre publics ces mots de passe est de: remplissage des informations d'identification. C'est le terme utilisé pour désigner les attaques qui utilisent les informations d'identification divulguées dans une fuite pour entrer dans d'autres comptes utilisant le même nom d'utilisateur et le même mot de passe. Les attaquants utilisent souvent des scripts automatisés pour mener ces attaques.
Responsabilité partagée
Il est important que les lecteurs sachent que ces listes n'indiquent aucune violation sur aucun serveur NordVPN. Les listes n'indiquent pas non plus que la violation révélée il y a 11 jours était pire que ce que la société avait déclaré. Au contraire, ces listes sont le résultat d'erreurs commises par les utilisateurs et NordVPN. Pour les utilisateurs, l’erreur est de choisir des mots de passe faciles à deviner et de les utiliser sur plusieurs sites. Les professionnels de la sécurité recommandent presque universellement que les utilisateurs choisissent un mot de passe long et aléatoire, propre à chaque compte.
Je dirais que NordVPN partage l'essentiel de la responsabilité du nombre élevé de comptes compromis sur son site. De nombreux services tels que Google et Facebook analysent de manière proactive les listes de références disponibles sur les sites publics et Dark Web. Lorsque les sites trouvent des informations d'identification qui correspondent à celles de leurs utilisateurs, ils en informent les utilisateurs et exigent la réinitialisation du mot de passe. De plus en plus, les sites ne permettent pas aux utilisateurs de choisir en premier lieu des mots de passe faibles ou des informations d'identification qui ont été exposées à des décharges en ligne dans le passé.
NordVPN peut prendre d'autres mesures pour empêcher les tiers malveillants de se connecter avec des mots de passe mal choisis par les utilisateurs. Le principal d'entre eux serait la limitation de vitesse et les algorithmes qui détectent et bloquent les connexions non autorisées. Il est difficile de comprendre pourquoi NordVPN, une entreprise dédiée à la sécurité des utilisateurs, permet à un grand nombre de ses utilisateurs d’être victimes de ces attaques. Dans un courrier électronique envoyé après la publication de cette publication, un représentant de NordVPN a écrit:
Notre équipe de sécurité analyse de manière proactive les listes d’identifiants disponibles sur les sites Web publics et Dark. De temps à autre, nous essayons d’inciter nos clients à modifier leurs identifiants, notamment leurs mots de passe. Et ensuite, nous essayons toujours d'éduquer nos clients via nos canaux de médias sociaux, nos blogs et nos lettres d'information pour qu'ils conservent leurs mots de passe forts et uniques. Nous travaillons actuellement sur deux autres mesures: l'authentification à deux facteurs (2FA) et le système de détection de bot intelligent pour améliorer la limitation de vitesse.
L'accréditation est un problème croissant non seulement pour nous mais pour presque tous les autres services numériques et sites Web. Si vous effectuez une recherche sur les marchés sur le Web sombre ou même sur des forums louches sur un Web public, vous trouverez des centaines de comptes différents pour le streaming, la musique, les jeux, les applications de santé et les services vendus illégalement. Tous ces comptes sont acquis grâce au remplissage des identifiants.
Les lecteurs qui sont des utilisateurs de NordVPN devraient visiter J'ai été pwned et vérifiez si votre adresse e-mail est contenue dans l'une des listes. Si tel est le cas, ils doivent changer leur mot de passe immédiatement. Pour la plupart des gens, il est trop difficile de garder une trace des mots de passe sécurisés, mais c’est là que les gestionnaires de mots de passe entrent en jeu. Cette protection est particulièrement importante car NordVPN ne semble pas en faire assez pour empêcher ces attaques de se produire.
Publication mise à jour pour ajouter des commentaires NordVPN.