Un’incredibile falla di sistema di un servizio VPN ha portato all’esposizione di circa 2000 utenti, ai quali sono state sottratte password e dati sensibili per essere venduti su siti web e forum specializzati in attacchi hacker.
Indirizzi email, password e date di scadenza associate agli account utente del servizio NordVPN sono state sottratte tramite un’azione di credential stuffing, attacco che sfrutta il fatto che le persone usano gli stessi nome utente e password per accedere a più applicazioni, siti e servizi.
Tuttavia, NordVPN ci tiene a precisare che la circolazione online di questo elenco non è il risultato di una violazione dei server del servizio, e probabilmente l’attacco hacker ha avuto gioco facile verso quelle password decisamente deboli poste dagli utenti. Proprio l’estrema semplicità di composizione delle password lascia supporre che si sia trattato di un’azione di credential stuffing.
Una nota sull’accaduto è stata divulgata da NordVPN:”il nostro team di sicurezza sta proattivamente scandagliando gli elenchi disponibili su siti pubblici e sul dark web, e periodicamente stiamo cercando di sollecitare i nostri clienti a cambiare le credenziali, le password in particolare. Siamo sempre in cerca di educare i clienti tramite i canali social media, i blog e le newsletter sul mantenere una password forte ed univoca. Stiamo lavorando al momento su due misure: autenticazione a due fattori e un sistema di bot-detection per migliorare il rate limiting.”
Il credential stuffing è purtroppo un problema crescente che ci espone a un sempre crescente numero di attacchi trasversali a vari servizi digitali o siti web. Per capirne l’incidenza basta controllare nel dark web le centinaia di differenti account per streaming, giochi, app e servizi vari venduti illegalmente.
Se avete pertanto il sospetto di essere vittime di credential stuffing, che siate utenti di NordVPN o di altri servizi vi invitiamo ad aggiornare le password immediatamente. Inoltre, è buona pratica cambiarle con periodicità e, se proprio non potete avere innumerevoli password diverse, vi consigliamo un software di gestione.