NortonLifeLock waarschuwt klanten voor inbraak op online wachtwoordmanager
Securitybedrijf NortonLifeLock heeft een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager, een online wachtwoordmanager, en adviseert alle opgeslagen inloggegevens direct te wijzigen. De wachtwoordmanager is te gebruiken via een Norton-account en kan wachtwoorden genereren en opslaan in een "online kluis". De wachtwoordmanager is beschikbaar als browser-extensie en app voor Android en iOS.
Volgens NortonLifeLock heeft een "ongeautoriseerde derde partij", met inloggegevens die via andere bronnen zijn verkregen, op het Norton-account van getroffen klanten ingelogd en kon zo ook toegang tot opgeslagen wachtwoorden krijgen. Dat blijkt uit een datalekmelding die het securitybedrijf bij de procureur-generaal van de Amerikaanse staat Vermont heeft gedaan (pdf).
Het gaat hier om een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen niet detecteren en blokkeren.
Door op het Norton-account in te loggen heeft de aanvaller naam, telefoonnummer en adresgegevens in handen buitgemaakt. "We kunnen niet uitsluiten dat de ongeautoriseerde derde partij de gegevens in de wachtwoordmanager heeft verkregen, met name als je Password Manager key gelijk is, of erg lijkt, op die van je Norton-account", aldus de brief. De aanvaller kan de inloggegevens in de kluis vervolgens zelf gebruiken of delen met anderen, zo stelt NortonLifeLock verder.
Het securitybedrijf heeft het wachtwoord van getroffen klanten gereset en adviseert, als klanten hetzelfde wachtwoord op ander websites gebruiken, het daar ook te wijzigen. Verder stelt NortonLifeLock dat klanten alle in de online wachtwoordmanager opgeslagen wachtwoorden direct moeten wijzigen. Tevens stelt het securitybedrijf dat klanten geregeld hun wachtwoorden zouden moeten wijzigen. Het periodiek wijzigen van wachtwoorden, tenzij er een datalek heeft plaatsgevonden, wordt door beveiligingsexperts en overheidsinstanties juist afgeraden omdat mensen dan vaak een zwakker wachtwoord kiezen.
Het gebeurt ook vaker volgens mij...
Ikzelf heb nog steeds een offline sheet met voor ieder account een ander complex wachtwoord, wel wat inspanning maar voorlopig de moeite waard.
Maar niet verder denken dan de neus lang is. Deze dingen zijn natuurlijk een mooi doelwit voor een aanvaller.
dinsdag 24 maart 2015, 12:18 door Redactie
https://www.security.nl/posting/422845/Overheid+adviseert+gebruikers+offline+wachtwoordmanager
Sla de wachtwoorden ook niet op in de browser zelf, maar gebruik een offline wachtwoordmanager met 2FA token.
Eens, Dit is ook precies de reden dat ik geen online password manager gebruik.
Dit. Ik zelf werk al jaren in Security en heb dan ook certificaten als CEH en CISSP, daarvoor was ik altijd technisch specialist en beheerde grote complexe (Microsoft/VMware/Cisco) omgevingen. Maar dan nog denk ik niet dat ik zelf beter zal zijn in het hosten / managen van mijn eigen wachtwoord kluis. Daar zijn dit soort bedrijven veel beter in denk ik. Daarbij geldt inderdaad dat gemak belangrijk is maar ook features als 'altijd beschikbaar', 'niet op papier', 'online checks tegen wachtwoord dumps' etc. Dat lukt mij zelf allemaal niet en al helemaal niet als ik wachtwoorden op papier bewaar of in een eigen offline database. Daarnaast heb ik een gezin waarin we wachtwoorden onderling moeten kunnen delen, dat is met KeePass etc. ook een uitdaging.
Daarom leg ik persoonlijk mijn vertrouwen in een online password manager en zorg ik voor 2FA op belangrijke accounts en een sterk hoofdwachtwoord. En ik kan altijd wachtwoorden wijzigen mocht blijken dat mijn vertrouwen in een wachtwoord manager leverancier misplaatst blijkt te zijn. Als er een breach is en miljoenen wachtwoorden liggen op straat hoop ik dat mijn wachtwoorden niet bovenaan de lijst staan van de criminelen en ik tijd heb om deze te wijzigen. Maar goed dit is mijn persoonlijk standpunt.
Het gebeurt ook vaker volgens mij...
Ikzelf heb nog steeds een offline sheet met voor ieder account een ander complex wachtwoord, wel wat inspanning maar voorlopig de moeite waard.
Ik host zelf mijn Passbolt community edition wachtwoordkluis voor mijzelf en m'n gezinsleden.
Beperkt toegankelijk maar erg handig.
Dat is in mijn ogen een verkeerde vraag. Het gebruik van cloud-based wachtwoord managers is niet per definitie fout en is een prima alternatief. Er is voor beide een use-case en het hangt allemaal af van je persoonlijke situatie. De één heeft een andere risk-appetite dan de ander. Voor mij persoonlijk is het gebruik van een cloud-based wachtwoord manager prima. Ik accepteer dat risico en weeg dat ook af tegen het gemak. Punt is ook dat veel mensen vinden dat ze het zelf moeten doen, want dat is veiliger, maar dit wellicht helemaal niet zelf kunnen en zo bijv. Bitwarden zelf hosten op een, onveilige?, aan het internet hangende NAS gebruiken. Dat is misschien een vals gevoel van veiligheid en persoonlijk heb ik het liefst thuis niks openstaan vanaf het internet. Ik leg mijn vertrouwen dus in een leverancier in de hoop dat mijn vertrouwen niet misplaatst is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.