LES FAITS
Cela fait une dizaine de jours que j'ai les éléments en ma possession, mais j'attendais des confirmations et réponses de NordVPN ainsi que des francophones concernés
! |
Depuis presque 3 ans circule des listes d'identifiants de comptes VPN, en plus suivant les bases origines, testés et actualisés, au cas où le détenteur aurait changé son mot de passe par exemple Ces comptes sont actifs, du moins pour les personnes contactées et qui ont répondu Certains ont des abonnements qui courent jusqu'en ...2026 Cela touche plusieurs prestataires VPN, comme IP VANISH, HOLA, ... mais la base la plus importante est celle de NordVPN Il n'y a rien d'étonnant en fait, car avec leur marketing agressif, ils ont une solide base clients |
Je vais donc m'attacher à cette et unique base clients de NORD VPN puisque c'est la plus importante
ANALYSE DU DOCUMENT
EN DETAIL
Le document initial fait 584 pages (. text chargé sous libre office) et concatène 4 sources différentes
! | Le nombre de comptes y figurant est de 5776 (+ ou - 10 car il y a quelques doublons) |
Il se décompose en une première partie ou chaque ligne est composée d'un login et mot de passe
26 pages de 1643 comptes avec login et mot de passe
et une deuxième partie avec login, mot de passe, date d'expiration, et une troisième avec les mêmes éléments avec décompte des jours restants et actualisation
soit 558 pages de 4133 comptes
Certains comptes sont récents (de 2020) avec diverses dates de validation, d'autres périmés depuis 2018 (ils sont dans une base ou ne figure pas les données d'actualisation)
Le soucis c'est que par défaut dans les préférences d'abonnement de NordVPN, le renouvellement est automatique donc on ne sait ce qu'il en est de ces comptes en apparence périmés
La base a été actualisée fin juin 2020 et fait a priori l'objet de mises à jour de temps à autre
Le package principal se compose d'un kit prêt à l'emploi avec le programme d'installation pour Windows, un .apk pour Android et.. une base de données
Les programmes sont (en apparence) sains (analyse virus total, hybrid analyse, et autre..) mais il peut y avoir d'autres packages avec un trojan stealer à l'intérieur ou keylogger, ...
Je me suis arrêté par contre à 2 autres sites qui diffusaient, avec une jolie présentation boite comme sur un site marchand divers programmes crackés dont ceux de NordVPN en version PC et android. Là par contre...
Sur les cracks, NordVPN a une page dédiée : https://nordvpn.com/fr/blog/crack/ où ils expliquent bien le danger et conséquence
! | Pour la partie francophone j'ai dénombré un peu plus d'une soixantaine de comptes |
Ce n'est pas énorme mais le soucis c''est que je ne me suis penché (manque de temps) QUE sur les adresses mails en .FR et quelques rares autres où je suis tombé par hasard dessus avec du Gmail mais dont les noms et prénoms pouvaient indiquer une origine francophone
Il y en a sûrement d'autres
Les boites mails qui apparaissent sont d'origine diverses (gmail, hotmail, icloud.com, live.com, msn.com, yahoo, d'autres en .edu, etc
Il semble que la majorité des gens soient d'origine europééne (mais il faut dire que des pseudos de hacker du dimanche à la "H4X00R_M4573R" (HACKER MASTER) cela pullule et cela n'aide pas)
M'attardant sur le background du hacker, je pensais que ces personnes disposaient d'un compte instagram également car le hacker dispose d"outils type bot pour aspirer les comptes (outil que l''on peut retrouver avec d'autres du même ordre sur un site avec invitation, mais.. mal sécurisé)
Aux vues des réponses des francophones reçues, les gens ne disposent pas tous d'un compte Instagram
Certains sont sur PC d'autres sur.. MAC
La piste du stealer peut cependant être envisagée (certains francophones on reconnu disposer de cracks, avoir été infecté, user de P2P, streaming etc
Ce n'est pas probant non plus, pour une piste "'inside" car cela peut concerner les 2/3 des personnes disposant d'un outil informatique, et le vol de données sur des serveurs liés à des sites, ces dernières années avec accélération ces derniers mois et semaines sont impressionnants (serveur avec elastic search par ex souvent mal configuré)
On trouve du reste des kits en vente pour faire cela entre 75 et 200$
Pour rappel les trojan stealer ce n'est pas récent https://www.malekal.com/tag/stealer/ les derniers en circulation comme le Raccoon sont plus sophistiqués https://www.malekal.com/botnet-phorpiex/ (et il a encore évolué depuis visant surtout les institutions bancaires, et se loue 200 euros/mois avec une asistance 24h/24 et 7/7 jours)
CE QUI A ETE FAIT
- Il a été envoyé un mail à tous les francophones concernés pour les informer et des mesures à prendre. Depuis une semaine, à peine 10% ont répondu (la période s'y prête mal, du fait des congés etc)
- NordVPN a été contacté
REACTION DE NORD VPN
Lors de mes échange avec NordVPN, j'ai tout expliqué, donné liens (donc fichiers) en ma possession, et pistes que j'avais suivi (dont le pseudo du hacker qui paradoxalement laisse des traces à certains endroits qui pourraient l'identifier), de ces programmes, ce à quoi ils servent etc
Mais surtout je leur ai demandé
- Si ils avaient connaissance de cette base (elle traine quand même depuis un petit bout de temps) et si OUI si ils avaient une idée de la source du hack
- Si il y avait un lien avec une compromission de serveurs (j'ai cité la Finlande puisque c''est récent) mais j'ai évoqué la piste du vol de données qui était la plus probante
et surtout, si au courant, quelles mesures avaient été prise (comme informer les clients), et dans la négative, si ils envisageaient d'en prendre
Je n'ai JAMAIS reçu dans les 4 échanges avec NORDVPN, de réponse précise à ce sujet
En retour j'ai eu droit à des remerciements (dont je me fiche), une réaction de défensive, et encore des remerciement suite à des suggestions effectuées (liées à la sécurité) et.... C'est TOUT
Compilation et extraits des réponses reçues :
Code : Tout sélectionner
-----------------------
"We have passed on your given information to our respective technicians, and they will look into this issue.
Thank you again for the information you have provided us with."
____________________________________
"Our service has never been hacked. It is, indeed, cases as you mentioned, that some of the user's emails and password combinations, that are matched to NordVPN account, are hacked. However, it’s important to understand how the hackers gain those emails and passwords. It is not by hacking any part of NordVPN’s website or service.
Hackers usually prey on easy targets – websites with poor or nonexistent security practices. They hack them to get their hands on a list of user emails and passwords. In addition to being able to hack those users’ accounts on that site, there’s something they can do to increase their returns.
Hackers know that most users don’t bother to set different passwords for different websites. That’s why they automatically check their lists of account logins against tons of popular websites and services. Every match is an additional account they can breach or sell to increase their payoff. Users who use different passwords for different accounts are safe from this approach. Users who reuse passwords are not.
That is why we urge our customers to protect themselves from such kind of experience, by using different passwords for different websites. To make sure that our customers have the best security, talking to this matter, we created NordPass.
NordPass is a program that remembers and autosaves all your passwords, autofills online forms, and allows you to save your private notes. It generates strong passwords on the spot and lets you share them securely.
You may find more information here:
https://nordpass.com/features/
If you have any further questions, please let us know!
__________________
Your suggestion has been passed to our application development team and they will look into possibilities of the implementation of it.
We also appreciate your feedback. It motivates us to look for the best solutions for our users, and provide the best customer service!
Let us know if you have any questions regarding our service!
___________________
J'ai répondu :-)
LE SOUCIS :
La non réaction de NORD VPN
Il est facile avec la liste fournie au niveau de leurs serveurs de mettre en place une procédure pour forcer les comptes compromis à des changements d'identifiants forcés, ce qui au moment où j'écris ces lignes n'est pas en place
Le truc c''est qu'ils savent qu'il existe des bases, des cracks, ..., et cela ne date pas d'hier (lien NordVPN au tout début)
Ils ne peuvent tout stopper (on ferme un site, et 10 autres s'ouvrent le lendemain) mais la moindre des choses est de prendre un minimum de mesures envers leurs clients pour les protéger puisque ces derniers ne savent pas se protéger eux même (méconnaissance, naiveté, ...)
Mettre des pages web informatives c'est une chose, du reste la personne qui achète un abonnement NordVPN veut seulement installer et utiliser son programme et ne lira pas tout ce qu'il y a sur le site, mais prendre des mesures actives relativement facile à mettre en place, en est une autre que visiblement NordVPN n'a pas choisi
Pour l'instant je leur laisse le bénéfice du doute (temps de réaction) Si il y a du nouveau je l'indiquerai
Alors je le répète, je cible NordVPN du fait de l'exemple choisi, mais c'est la même chose ailleurs
il y a des conséquences AUTRES pour les personnes concernées
i | En effet et comme le souligne NORD VPN , et qu'iis indiquent en mettant en avant au passage un de leur produit annexe (NordPass), nombre des personnes concernées ont un LOGIN et MOT de passe identique, QUI EST UTILISE POUR NOMBRE DE SERVICES ET ACCES |
Par ex je me suis attardé sur un utilisateur francophone
Avec son login et mot de passe (et sans me servir de ses identifiants et sans me connecter ) j'ai trouvé dans d'autres bases, les mêmes identifiants pour divers comptes "actiifs" : Netflix, Instagram etc et... bien que ceux de Nord VPN dataient et étaient indiqués comme périmés depuis mars 2020
J'ai noté un achat sur CDISCOUNT en mai 2020 avec le meme login et mot de passe (via un web cache d'un forum fr sur invitation qui se définit comme " pas comme un forum de cracking,hacking" mais comme " un forum visant à partager des informations et du contenu" et qui se dégage bien entendu sur la responsabilité des utilisateurs et de ce qu'ils feraient de ces comptes
! |
Il faut savoir que la source du vol n'est pas NordVPN Les identifiants peuvent venir d'autres comptes comme ceux de Netflix, Amazon, Instagram, Spotify, .... la liste est longue Derrière le vol des équipes sont chargées de tester les identifiants sur tout un tas de services Cela permet ensuite de fournir des packages clés en main à des acheteurs |
C''est un business
C'est pour cela qu'il est IMPERATIF de ne JAMAIS utiliser les mêmes identifiants sur différents sites et services, tout comme il n''est pas conseillé de tout enregistrer dans votre navigateur
Il faut éviter aussi de mettre des mots de passe dits "faibles", mais dans le cas des vols de base de données cela n'a AUCUNE incidence
Dans la base NordVPN, il y a des mots de passe complexe avec des suites de chiffre et lettres, d'autres caractères (dits "spéciaux" ) comme le "." ou " -"
LES OUTILS POUR SE FAIRE AIDER
Vérifier si vos identifiants figurent dans une base :
Haveibeenpwned : vérifier si vos mots de passe ont été piratés
Bien que le site soit clean du fait de son propriétaire, si vous n'avez pas confiance, vous pouvez passer par Keepass en téléchargeant la base
Have I Been Pwned" : Vérifier localement vos mots de passe
S'assurer que son PC ne contient aucun malware (stealer, keylogger, ...)
Vous pouvez vous faire aider sur le forum, mais il faut se rappeler, comme indiqué dans les liens précédents, les vols de données sont pour la majorité externes (comme pour ceux qui découvrent leur adresse mail dans la base "Have I Been Pwned ?")
Faire analyser son PC avec FRST
En effet il ne sert à rien de changer vos mots de passe si un keylogger ou autre malware est encore présent https://www.malekal.com/keylogger/
Utiiliser un programme de gestion de mot de passe
Pour le navigateur et les liens pour Keepass, Dahslane, Bitwarden et autres
Ma préférence porte sur keepassXC car open source, fiable, https://www.malekal.com/keepassxc-le-ge ... piratages/ et pas d'option de paiement pour stocker mes identifiants sur.. le cloud !
De plus il existe de nombreuses possibilités comme https://www.malekal.com/keepass2android ... e-android/
et plus globalement sur le sujet https://www.malekal.com/category/intern ... -de-passe/
mais chacun choisi ce qu'il veut bien évidemment
Edit :
Pour avoir une petite idée de ce qui traine sur le Dark Web, et comment ces vols se produisent
150 millions de données d'internautes Français en vente sur le Darknet
------------
PS : Cet article n'est pas sponsorisé par NordVPN :--)