NORD VPN : Des identifiants dans la nature

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 20229
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

NORD VPN : Des identifiants dans la nature

par Parisien_entraide »

2020-07-31_173403.jpg


LES FAITS

Cela fait une dizaine de jours que j'ai les éléments en ma possession, mais j'attendais des confirmations et réponses de NordVPN ainsi que des francophones concernés




!
Depuis presque 3 ans circule des listes d'identifiants de comptes VPN, en plus suivant les bases origines, testés et actualisés, au cas où le détenteur aurait changé son mot de passe par exemple

Ces comptes sont actifs, du moins pour les personnes contactées et qui ont répondu

Certains ont des abonnements qui courent jusqu'en ...2026

Cela touche plusieurs prestataires VPN, comme IP VANISH, HOLA, ... mais la base la plus importante est celle de NordVPN
Il n'y a rien d'étonnant en fait, car avec leur marketing agressif, ils ont une solide base clients


Je vais donc m'attacher à cette et unique base clients de NORD VPN puisque c'est la plus importante




ANALYSE DU DOCUMENT



EN DETAIL

2020-07-31_180312.jpg

Le document initial fait 584 pages (. text chargé sous libre office) et concatène 4 sources différentes



!
Le nombre de comptes y figurant est de 5776 (+ ou - 10 car il y a quelques doublons)

Il se décompose en une première partie ou chaque ligne est composée d'un login et mot de passe

26 pages de 1643 comptes avec login et mot de passe

et une deuxième partie avec login, mot de passe, date d'expiration, et une troisième avec les mêmes éléments avec décompte des jours restants et actualisation
soit 558 pages de 4133 comptes


Certains comptes sont récents (de 2020) avec diverses dates de validation, d'autres périmés depuis 2018 (ils sont dans une base ou ne figure pas les données d'actualisation)
Le soucis c'est que par défaut dans les préférences d'abonnement de NordVPN, le renouvellement est automatique donc on ne sait ce qu'il en est de ces comptes en apparence périmés


La base a été actualisée fin juin 2020 et fait a priori l'objet de mises à jour de temps à autre

Le package principal se compose d'un kit prêt à l'emploi avec le programme d'installation pour Windows, un .apk pour Android et.. une base de données
Les programmes sont (en apparence) sains (analyse virus total, hybrid analyse, et autre..) mais il peut y avoir d'autres packages avec un trojan stealer à l'intérieur ou keylogger, ...
Je me suis arrêté par contre à 2 autres sites qui diffusaient, avec une jolie présentation boite comme sur un site marchand divers programmes crackés dont ceux de NordVPN en version PC et android. Là par contre...

Sur les cracks, NordVPN a une page dédiée : https://nordvpn.com/fr/blog/crack/ où ils expliquent bien le danger et conséquence



!
Pour la partie francophone j'ai dénombré un peu plus d'une soixantaine de comptes

Ce n'est pas énorme mais le soucis c''est que je ne me suis penché (manque de temps) QUE sur les adresses mails en .FR et quelques rares autres où je suis tombé par hasard dessus avec du Gmail mais dont les noms et prénoms pouvaient indiquer une origine francophone
Il y en a sûrement d'autres

Les boites mails qui apparaissent sont d'origine diverses (gmail, hotmail, icloud.com, live.com, msn.com, yahoo, d'autres en .edu, etc
Il semble que la majorité des gens soient d'origine europééne (mais il faut dire que des pseudos de hacker du dimanche à la "H4X00R_M4573R" (HACKER MASTER) cela pullule et cela n'aide pas)
Surnom hacker.jpg


M'attardant sur le background du hacker, je pensais que ces personnes disposaient d'un compte instagram également car le hacker dispose d"outils type bot pour aspirer les comptes (outil que l''on peut retrouver avec d'autres du même ordre sur un site avec invitation, mais.. mal sécurisé)

Aux vues des réponses des francophones reçues, les gens ne disposent pas tous d'un compte Instagram
Certains sont sur PC d'autres sur.. MAC

La piste du stealer peut cependant être envisagée (certains francophones on reconnu disposer de cracks, avoir été infecté, user de P2P, streaming etc
Ce n'est pas probant non plus, pour une piste "'inside" car cela peut concerner les 2/3 des personnes disposant d'un outil informatique, et le vol de données sur des serveurs liés à des sites, ces dernières années avec accélération ces derniers mois et semaines sont impressionnants (serveur avec elastic search par ex souvent mal configuré)
On trouve du reste des kits en vente pour faire cela entre 75 et 200$

Pour rappel les trojan stealer ce n'est pas récent https://www.malekal.com/tag/stealer/ les derniers en circulation comme le Raccoon sont plus sophistiqués https://www.malekal.com/botnet-phorpiex/ (et il a encore évolué depuis visant surtout les institutions bancaires, et se loue 200 euros/mois avec une asistance 24h/24 et 7/7 jours)



CE QUI A ETE FAIT

2020-07-31_180544.jpg


- Il a été envoyé un mail à tous les francophones concernés pour les informer et des mesures à prendre. Depuis une semaine, à peine 10% ont répondu (la période s'y prête mal, du fait des congés etc)

- NordVPN a été contacté



REACTION DE NORD VPN


Lors de mes échange avec NordVPN, j'ai tout expliqué, donné liens (donc fichiers) en ma possession, et pistes que j'avais suivi (dont le pseudo du hacker qui paradoxalement laisse des traces à certains endroits qui pourraient l'identifier), de ces programmes, ce à quoi ils servent etc

Mais surtout je leur ai demandé

- Si ils avaient connaissance de cette base (elle traine quand même depuis un petit bout de temps) et si OUI si ils avaient une idée de la source du hack
- Si il y avait un lien avec une compromission de serveurs (j'ai cité la Finlande puisque c''est récent) mais j'ai évoqué la piste du vol de données qui était la plus probante

et surtout, si au courant, quelles mesures avaient été prise (comme informer les clients), et dans la négative, si ils envisageaient d'en prendre



Je n'ai JAMAIS reçu dans les 4 échanges avec NORDVPN, de réponse précise à ce sujet

En retour j'ai eu droit à des remerciements (dont je me fiche), une réaction de défensive, et encore des remerciement suite à des suggestions effectuées (liées à la sécurité) et.... C'est TOUT



Compilation et extraits des réponses reçues :

Code : Tout sélectionner

-----------------------
"We have passed on your given information to our respective technicians, and they will look into this issue.

Thank you again for the information you have provided us with."

____________________________________
"Our service has never been hacked. It is, indeed, cases as you mentioned, that some of the user's emails and password combinations, that are matched to NordVPN account, are hacked. However, it’s important to understand how the hackers gain those emails and passwords. It is not by hacking any part of NordVPN’s website or service.

Hackers usually prey on easy targets – websites with poor or nonexistent security practices. They hack them to get their hands on a list of user emails and passwords. In addition to being able to hack those users’ accounts on that site, there’s something they can do to increase their returns.

Hackers know that most users don’t bother to set different passwords for different websites. That’s why they automatically check their lists of account logins against tons of popular websites and services. Every match is an additional account they can breach or sell to increase their payoff. Users who use different passwords for different accounts are safe from this approach. Users who reuse passwords are not.

That is why we urge our customers to protect themselves from such kind of experience, by using different passwords for different websites. To make sure that our customers have the best security, talking to this matter, we created NordPass.

NordPass is a program that remembers and autosaves all your passwords, autofills online forms, and allows you to save your private notes. It generates strong passwords on the spot and lets you share them securely.

You may find more information here:
https://nordpass.com/features/

If you have any further questions, please let us know!
__________________

Your suggestion has been passed to our application development team and they will look into possibilities of the implementation of it.

We also appreciate your feedback. It motivates us to look for the best solutions for our users, and provide the best customer service!

Let us know if you have any questions regarding our service!
___________________
Anecdote : Au moment où je tapotais cette information, j'ai reçu un mail de NordVPN me demandant de ce que je pensais de leur service Client..
J'ai répondu :-)


LE SOUCIS :


La non réaction de NORD VPN
Il est facile avec la liste fournie au niveau de leurs serveurs de mettre en place une procédure pour forcer les comptes compromis à des changements d'identifiants forcés, ce qui au moment où j'écris ces lignes n'est pas en place


Le truc c''est qu'ils savent qu'il existe des bases, des cracks, ..., et cela ne date pas d'hier (lien NordVPN au tout début)
Ils ne peuvent tout stopper (on ferme un site, et 10 autres s'ouvrent le lendemain) mais la moindre des choses est de prendre un minimum de mesures envers leurs clients pour les protéger puisque ces derniers ne savent pas se protéger eux même (méconnaissance, naiveté, ...)

Mettre des pages web informatives c'est une chose, du reste la personne qui achète un abonnement NordVPN veut seulement installer et utiliser son programme et ne lira pas tout ce qu'il y a sur le site, mais prendre des mesures actives relativement facile à mettre en place, en est une autre que visiblement NordVPN n'a pas choisi
Pour l'instant je leur laisse le bénéfice du doute (temps de réaction) Si il y a du nouveau je l'indiquerai

Alors je le répète, je cible NordVPN du fait de l'exemple choisi, mais c'est la même chose ailleurs


il y a des conséquences AUTRES pour les personnes concernées


i
En effet et comme le souligne NORD VPN , et qu'iis indiquent en mettant en avant au passage un de leur produit annexe (NordPass), nombre des personnes concernées ont un LOGIN et MOT de passe identique, QUI EST UTILISE POUR NOMBRE DE SERVICES ET ACCES
2020-07-31_163423.jpg

Par ex je me suis attardé sur un utilisateur francophone

Avec son login et mot de passe (et sans me servir de ses identifiants et sans me connecter ) j'ai trouvé dans d'autres bases, les mêmes identifiants pour divers comptes "actiifs" : Netflix, Instagram etc et... bien que ceux de Nord VPN dataient et étaient indiqués comme périmés depuis mars 2020

J'ai noté un achat sur CDISCOUNT en mai 2020 avec le meme login et mot de passe (via un web cache d'un forum fr sur invitation qui se définit comme " pas comme un forum de cracking,hacking" mais comme " un forum visant à partager des informations et du contenu" et qui se dégage bien entendu sur la responsabilité des utilisateurs et de ce qu'ils feraient de ces comptes


!
Il faut savoir que la source du vol n'est pas NordVPN
Les identifiants peuvent venir d'autres comptes comme ceux de Netflix, Amazon, Instagram, Spotify, .... la liste est longue
Derrière le vol des équipes sont chargées de tester les identifiants sur tout un tas de services
Cela permet ensuite de fournir des packages clés en main à des acheteurs

C''est un business

C'est pour cela qu'il est IMPERATIF de ne JAMAIS utiliser les mêmes identifiants sur différents sites et services, tout comme il n''est pas conseillé de tout enregistrer dans votre navigateur
Il faut éviter aussi de mettre des mots de passe dits "faibles", mais dans le cas des vols de base de données cela n'a AUCUNE incidence
Dans la base NordVPN, il y a des mots de passe complexe avec des suites de chiffre et lettres, d'autres caractères (dits "spéciaux" ) comme le "." ou " -"




LES OUTILS POUR SE FAIRE AIDER



Vérifier si vos identifiants figurent dans une base :

Haveibeenpwned : vérifier si vos mots de passe ont été piratés

Bien que le site soit clean du fait de son propriétaire, si vous n'avez pas confiance, vous pouvez passer par Keepass en téléchargeant la base

Have I Been Pwned" : Vérifier localement vos mots de passe


S'assurer que son PC ne contient aucun malware (stealer, keylogger, ...)


Vous pouvez vous faire aider sur le forum, mais il faut se rappeler, comme indiqué dans les liens précédents, les vols de données sont pour la majorité externes (comme pour ceux qui découvrent leur adresse mail dans la base "Have I Been Pwned ?")

Faire analyser son PC avec FRST

En effet il ne sert à rien de changer vos mots de passe si un keylogger ou autre malware est encore présent https://www.malekal.com/keylogger/


Utiiliser un programme de gestion de mot de passe


Pour le navigateur et les liens pour Keepass, Dahslane, Bitwarden et autres

Ma préférence porte sur keepassXC car open source, fiable, https://www.malekal.com/keepassxc-le-ge ... piratages/ et pas d'option de paiement pour stocker mes identifiants sur.. le cloud !

De plus il existe de nombreuses possibilités comme https://www.malekal.com/keepass2android ... e-android/
et plus globalement sur le sujet https://www.malekal.com/category/intern ... -de-passe/
mais chacun choisi ce qu'il veut bien évidemment



Edit :

Pour avoir une petite idée de ce qui traine sur le Dark Web, et comment ces vols se produisent

150 millions de données d'internautes Français en vente sur le Darknet


------------
PS : Cet article n'est pas sponsorisé par NordVPN :--)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20229
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: VPN : Des identifiants dans la nature

par Parisien_entraide »


Je viens de trouver une page Web sur le site NordVPN en date du 15 juillet
(peut être en lien avec les messages envoyés dans la première quinzaine de juillet ?)

2020-08-01_121139.jpg

https://nordvpn.com/fr/blog/donnees-personnelles/

Il est indiqué (parties les plus importantes) :

__________________
"Récemment, certains sites web ont affirmé que plusieurs violations de comptes et mots de passe associés au service NordVPN. (...)
Au total, près de 2 000 combinaisons d’adresses e-mail et de mots de passe ont été subtilisées. Celles-ci étaient appariées à plus de 12 millions d’utilisateurs de NordVPN.
(...) Afin de préserver votre sécurité et celle de votre compte d’utilisateur, nous procédons quotidiennement à des analyses sur le web afin d’identifier les situations avérées de vols de données personnelles. Si nécessaire, nous avertissons immédiatement les victimes concernées en préconisant le changement de leur mot de passe.
Paradoxalement, seuls 50 % de nos utilisateurs suivent avec intérêt cette recommandation pourtant essentielle.
(...)
un pirate peut obtenir l’accès de votre compte d’utilisateur.
(...)
A vrai dire, les possibilités offertes aux hackers ayant subtilisé les identifiants d’un utilisateur restent limitées.
___________________________________________

DECRYPTAGE

La notion de "récemment" est toute relative.

Je suis cependant remonté sur les 15 derniers jours qui précèdent leur article sur mes sources habituelles... RIEN
Du reste même si on table sur le mois de mai ou juin, les bases en circulation vont au delà de 2000 comptes qu'ils indiquent

En plus en "récemment" on dépasse allègrement dans ce qui circule, le chiffre qu'ils indiquent, même si on soustrait les comptes potentiellement périmés arrivés à expiration, qui comme je l'indiquais sont par défaut automatiquement renouvelés

Ils disent prévenir les victimes "Si nécessaire" ... sur quelle base, sur quels critères ? Là au bout d'une semaine.. RIEN (mais pour la partie francophone)

Ensuite l'avertissement du "pirate qui peut obtenir l'accès au compte utilisateur".. Encore faudrait il que NordVPN oblige à avoir des identifiants différent pour les accès au compte sur leur site, et l'application. Ce n'est pas le cas (Ce ne sont pas les seuls cependant)

Quant aux peu de possibilités.... Il n'y a pas QUE la partie technique qui compte.
QUID de ce que peut faire sur le net le voleur d'identifiants avec ne serait ce que ceux de NordVPN ?
Ce n'est surement pas pour aller acheter une peluche Bisounours sur un magasin en ligne

On peut tout imaginer, surtout le pire
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »