近日，一家名为NordVPN的虚拟专用网络服务公司披露，其服务器遭到黑客攻击，密码密钥遭到泄露。该公司多达2000名用户已成为身份信息造假攻击的受害者，这些攻击允许未经授权的用户访问他们的账户。

 

最近几周，NordVPN用户的证书在Pastebin和其他在线论坛上流传。它们包含与NordVPN用户帐户相关的电子邮件地址、纯文本密码和过期日期。

 

周四，我收到了一份包含753个证书的列表，并对一小部分用户进行了调查。除了一个人外，沐鸣开户测速所有人的密码都还在使用。一个修改了密码的用户在收到一封未请求的密码重置邮件后就这么做了。似乎有人获得未经授权的访问是试图接管帐户。还有几个人说，他们的账户被未经授权的人访问过。

 

在过去的一周里，我被攻破通知服务已经报告了至少10份类似于我所获得的NordVPN证书列表。

 

虽然有些账户可能会被列在多个列表中，但用户账户的数量很容易就会超过2000个。更重要的是，我收到的列表中的大量电子邮件地址根本没有被索引，这表明一些受损的凭据仍然泄露到公共视图中。承载这些证书的大多数网页都已被撤下，但在这篇文章发布的时候，Pastebin上至少还有一个网页可用，尽管Ars在17个多小时前就将其提交给了NordVPN。

 

所有的明文密码无一例外都是弱密码。在某些情况下，它们是电子邮件地址中@符号左边的字符串。在其他情况下，它们在大多数词典中都能找到。其他的似乎是姓氏，有时在末尾附加两三个数字。这些常见的特征意味着，这些密码被公开的最有可能的方式是通过伪造凭证。这是一个术语，指的是利用在一次泄露中泄露的凭证来入侵使用相同用户名和密码的其他账户。攻击者通常使用自动脚本来执行这些攻击。

 

共同的责任

 

重要的是，读者要知道，这些名单并不意味着任何NordVPN服务器的入侵。名单也没有显示11天前披露的漏洞比该公司说的更严重。相反，这些列表是用户和NordVPN错误的结果。对于用户来说，错误在于选择容易猜到的密码并在多个网站上使用它们。安全从业人员几乎普遍建议人们为每个帐户选择一个长而随机的密码。

 

我认为，NordVPN对其网站上高发生率的账户被攻破负有大部分责任。许多服务，如谷歌和Facebook，会主动筛选在公共网站和暗网上可用的证书列表。当站点发现与用户的凭证匹配时，站点通知用户并要求重置密码。这些网站越来越不允许用户首先选择弱密码或过去在网上转储中暴露的凭证。

 

NordVPN还可以采取其他措施，防止恶意用户使用错误的密码登录。其中最主要的是速率限制和检测并阻止未授权登录的算法。很难理解为什么NordVPN，一家为用户提供安全服务的公司，会让这么多的用户成为这些攻击的受害者。在这篇文章发布后，一位NordVPN的代表在一封电子邮件中写道:

 

我们的安全团队正在积极主动地扫描公共站点和暗网上可用的凭据列表，并不时地敦促我们的客户更改他们的凭据，特别是密码。然后，我们总是试图通过我们的社交媒体渠道、博客和客户通讯告诉我们的客户，他们必须保持密码的唯一性和安全性。我们目前正在研究另外两项措施——双因素认证(2FA)和智能机器人检测系统，以提高速率限制。