Senhas dos usuários do NordVPN expostas em ataques de preenchimento de credenciais em massa

54

Até 2.000 usuários do NordVPN, o serviço de rede virtual privada que recentemente divulgou um hack do servidor que vazou chaves de criptografia, foram vítimas de ataques de preenchimento de credenciais que permitem acesso não autorizado a suas contas.

Nas últimas semanas, credenciais para usuários do NordVPN circularam no Pastebin e em outros fóruns online. Eles contêm os endereços de email, senhas em texto sem formatação e datas de validade associadas às contas de usuário do NordVPN.

Recebi uma lista de 753 credenciais na quinta-feira e fiz uma pesquisa com uma pequena amostra de usuários. As senhas listadas para todos, exceto um, ainda estavam em uso. O único usuário que alterou sua senha o fez após receber um e-mail de redefinição de senha não solicitado. Parece que alguém que obteve acesso não autorizado estava tentando assumir a conta. Várias outras pessoas disseram que suas contas foram acessadas por pessoas não autorizadas.

Na semana passada, o serviço de notificação de violação Fui sacaneado relatou pelo menos 10 listas de credenciais do NordVPN semelhantes à que eu obtive.

Fui sacaneado

Embora seja provável que algumas contas estejam listadas em várias listas, o número de contas de usuário ultrapassa facilmente 2.000. Além disso, um grande número de endereços de e-mail na lista que recebi não foram indexados de acordo com o recurso Fui enviado, indicando que algumas credenciais comprometidas ainda estão vazando para exibição pública. A maioria das páginas da Web que hospedam essas credenciais foi retirada, mas no momento em que esta postagem foi publicada, pelo menos uma permaneceu disponível no Pastebin, apesar do Ars ter trazido a atenção da NordVPN mais de 17 horas antes.

Sem exceção, todas as senhas de texto sem formatação são fracas. Em alguns casos, eles são a sequência de caracteres à esquerda do sinal @ no endereço de e-mail. Em outros casos, são palavras encontradas na maioria dos dicionários. Outros parecem ser sobrenomes, às vezes com dois ou três números escritos no final. Esses traços comuns significam que a maneira mais provável de essas senhas se tornarem públicas é através recheio de credenciais. Esse é o termo para ataques que usam credenciais divulgadas em um vazamento para invadir outras contas que usam o mesmo nome de usuário e senha. Os invasores geralmente usam scripts automatizados para realizar esses ataques.

Responsabilidade compartilhada

É importante que os leitores saibam que essas listas não sinalizam uma violação em nenhum servidor NordVPN. As listas também não indicam que a violação divulgada 11 dias atrás foi pior do que a empresa disse que era. Em vez disso, essas listas são o resultado de erros por parte dos usuários e do NordVPN. Para os usuários, o erro é escolher senhas fáceis de adivinhar e usá-las em vários sites. Os profissionais de segurança recomendam quase universalmente que as pessoas escolham uma senha longa e aleatória, única para cada conta.

Eu argumentaria que o NordVPN compartilha a maior parte da responsabilidade pela alta incidência de contas comprometidas em seu site. Muitos serviços, como Google e Facebook, examinam proativamente as listas de credenciais disponíveis em sites públicos e na Web escura. Quando os sites encontram credenciais que correspondem às de seus usuários, os sites notificam os usuários e exigem uma redefinição de senha. Os sites cada vez mais não permitem que os usuários escolham senhas fracas em primeiro lugar ou credenciais que foram expostas em despejos on-line no passado.

O NordVPN pode tomar outras medidas para impedir que terceiros maliciosos efetuem login com as senhas mal escolhidas dos usuários. O principal deles seria o limite de taxas e algoritmos que detectam e bloqueiam logins não autorizados. É difícil entender por que a NordVPN, uma empresa que fornece segurança aos usuários, está permitindo que muitos de seus usuários sejam vítimas desses ataques. Perguntei a um representante da empresa sobre isso e ela ainda não respondeu.

Os leitores que são usuários do NordVPN devem visitar Fui sacaneado e verifique se o endereço de e-mail dela está em alguma das listas. Se for, eles devem alterar suas senhas imediatamente. Para a maioria das pessoas, é muito difícil controlar as pontuações de senhas fortes, mas é aí que entram os gerenciadores de senhas. Essa proteção é especialmente importante, pois o NordVPN não parece estar fazendo o suficiente para impedir que esses ataques ocorram.

Fonte: Ars Technica