NordVPN 用户密码在大规模凭据填充攻击中泄露

NordVPN 用户密码在大规模凭据填充攻击中暴露

美国广播公司2019年最美丽的女人: 世界上最漂亮的10大女人)照片档案/盖蒂图片社

虚拟专用网络服务 NordVPN 的多达 2,000 名用户最近披露了泄露密码密钥的服务器黑客行为,成为允许未经授权访问其账户的凭据填充攻击的受害者。

最近几周,NordVPN 用户的凭证已经在 Pastebin 和其他在线论坛上传播。它们包含与 NordVPN 用户帐户关联的电子邮件地址、纯文本密码和到期日期。

周四,我收到了一份 753 证书的列表,并对一小部分用户进行了抽样调查。列出的除一个以外的所有密码仍在使用中。一个用户#如何创建Instagram账号#自定义Instagram个人资料)在收到未经请求的密码重置电子邮件后更改了密码。似乎获得未经授权访问的人试图接管账户。其他几个人说他们的账户被未经授权的人访问了。

在过去的一周里,我被 Pwned 的违规通知服务报告了至少 10 份与我获得的类似的 NordVPN 证书列表。

我被放大了吗

虽然一些账户可能列在多个列表中,但用户账户的数量很容易超过 2,000。此外,我收到的列表中的大量电子邮件地址根本没有被我是否被命名为索引,这表明一些受损的凭证仍在泄漏到公共视图中。大多数托管这些证书的网页已经被删除,但是在这篇文章上线的时候,至少有一个在 Pastebin 上可用, 尽管事实是 Ars 在 17 个多小时前就引起了 NordVPN 的注意。

毫无例外,所有的纯文本密码都是弱的。在某些情况下,它们是电子邮件地址中 @ 符号左侧的字符串。在其他情况下,它们是在大多数字典中找到的单词。其他人似乎是姓氏,有时会在结尾加上两个或三个数字。这些常见的特征意味着这些密码最有可能公开的方式是通过凭证填充。这是攻击的术语,这些攻击将一次泄露的凭据窃取到使用相同用户名和密码的其他帐户。攻击者通常使用自动脚本执行这些攻击。

分担责任

对于读者来说,重要的是要知道这些列表不会在任何 NordVPN 服务器上发出违规信号。这些名单也没有表明 11 天前披露的违规行为比公司所说的更糟糕。相反,这些列表是用户和 NordVPN 错误的结果。对于用户来说,错误是选择易于猜测的密码并在多个网站上使用。安全从业者几乎普遍建议人们选择一个长的、随机的密码#如何创建Instagram账号#使用手机),每个账户都是独一无二的。

我认为 NordVPN 对其网站上的高受损账户发生率负有大部分责任。谷歌伦敦48小时内两人被枪杀)和 Facebook 等许多服务都主动筛选公共网站和暗网上的证书列表。当网站找到与其用户相匹配的凭据时,网站会通知用户并要求重置密码。这些网站越来越不允许用户首先选择弱密码或过去在在线转储中暴露的凭据。

NordVPN 可以采取其他措施来防止恶意方使用用户选择不当的密码登录。其中最主要的是速率限制和检测和阻止未经授权登录的算法。很难理解为什么从事为用户提供安全服务的公司 NordVPN 允许这么多用户成为这些攻击的受害者。我问了公司代表这个问题,她仍然没有回应。

NordVPN 用户的读者应该访问我是否被 Pwned 并检查他们的电子邮件地址是否包含在任何列表中。如果是,他们应该立即更改密码。对大多数人来说,跟踪大量的强密码太难了,但这就是密码管理器的来源。这种保护尤其重要,因为 NordVPN 似乎没有做足够的工作来阻止这些攻击的发生。

冷门菌Robot翻译