Circolano sul web le password in chiaro di 2000 utenti NordVPN

Sono circa 2000 gli utenti del servizio NordVPN che sono cadute vittima di attacchi di credential stuffing, e nelle scorse settimane hanno visto esposte le proprie credenziali su siti web e forum pubblici (come ad esempio Pastebin) e nel Dark Web.

L'elenco delle credenziali pubblicate contiene indirizzi email, password in testo semplice e date di scadenza associate agli account utente NordVPN. La maggior parte delle pagine contenenti le credenziali è stata ora messa offline. E' bene sottolineare che la circolazione online di questo elenco non è risultato di una violazione dei server NordVPN e non ha nulla a che fare con l'incidente di sicurezza che NordVPN ha divulgato nei giorni scorsi.

La maggior parte delle password sono decisamente deboli: in alcune casi sono stringhe di caratteri identiche al nome a sinistra del segno @ del rispettivo indirizzo email, in altri casi sono parole presenti su un comune dizionario e in altri casi ancora sono cognomi con un numero giustapposto in coda. E' proprio l'estrema semplicità di composizione delle password che lascia ragionevolmente supporre che si sia trattato di un'azione di credential stuffing, cioè di account recuperati da violazioni di altri servizi, sulla base che molti utenti riciclano le combinazioni user/pass per molteplici account.

In tal caso l'esortazione è quella di utilizzare password di una adeguata complessità, seguendo il principio "facile da ricordare, difficile da indovinare", e utilizzare una password univoca per ciascun account. Se il compito di ricordare o tenere traccia di svariate password complesse risultasse troppo difficile, è possibile adottare un password manager come ad esempio Lastpass oppure 1Password.

Sull'accaduto NordVPN ha dichiarato:

"Il nostro team di sicurezza sta proattivamente scandagliando gli elenchi disponibili su siti pubblici e sul dark web, e periodicamente stiamo cercando di sollecitare i nostri clienti a cambiare le credenziali, le password in particolare. Siamo sempre in cerca di educare i clienti tramite i canali social media, i blog e le newsletter sul mantenere una password forte ed univoca. Stiamo lavorando al momento su due misure - autenticazione a due fattori e un sistema di bot-detection per migliorare il rate limiting.

Il credential stuffing è un problema crescente non solo per noi ma anche per quasi ogni altro servizio digitale e sito web. Nel dark web o su forum pubblici si trovano centinaia di differenti account per streaming, giochi, app e servizi vari venduti illegalmente. Tutti questi account sono stati acquisiti tramite credential stuffing".

Gli utenti di NordVPN che sospettano di essere stati toccati dal problema di sicurezza dovrebbero cambiare la loro password immediatamente e verificare se la stessa combinazione nome utente/password sia stata usata anche su altri servizi e, nel caso, cambiare anche quelle credenziali.