[English]Warnung an alle Nutzer von Password Manager-Konten des Anbieters NortonLifeLock. Es gab wohl im Dezember 2022 einen Credential Stuffing-Angriff auf Konten von NortonLifeLock-Benutzern. Ziel war es, durch probieren von Benutzernamen und Kennwörtern die Konten zu knacken, um Zugriff auf den Passwort-Manager der Nutzer zu erhalten. Der Anbieter hat Grund zur Annahme, dass die Angreifer bei einer Anzahl Benutzerkonten erfolgreich waren und Zugriff auf die Password Manager-Konten erhielten.
Anzeige
Die NortonLifeLock-Warnung vor dem potentiellen Datenzugriff auf die Password Manager-Konten wurde zum 9. Januar 2023 vom Büro des Generalstaatsanwalts des US-Bundesstaats Vermont veröffentlicht. Den Kollegen hier ist diese Mitteilung zum Datenschutzvorfall bei Gen Digital (NortonLifeLock) aufgefallen.
Gen Digital Inc. ist ein US-amerikanischer Entwickler von Sicherheitssoftware für Privatanwender. Der Hauptsitz des Unternehmens liegt in Tempe im Bundesstaat Arizona; und seit der Übernahme von Avast ist Prag ein zweiter Hauptsitz. Interessant wird es, wenn man weiß, dass dies der Rechtsnachfolger der Symantec Corporation und von NortonLifeLock ist, die ihrerseits unter anderem die Antivirus-Hersteller Avira und Avast gekauft haben.
Was ist passiert?
Am 12. Dezember 2022 entdeckten die Sicherheitsleute von NortonLifeLock eine ungewöhnlich große Anzahl von fehlgeschlagenen Anmeldungen bei Kundenkonten. Es wurden umgehend Schritte zur Analyse dieser Vorgänge eingeleitet. Aber erst 10 Tage später, um den 22. Dezember 2022 gab es erste Erkenntnisse.
Ein unbefugter Dritter hatte ab dem 1. Dezember 2022 einen Credential Stuffing-Angriff auf die Benutzerkonten von NortonLifeLock durchgeführt. Dabei benutzt der Angreifer eine Liste von Benutzernamen und Kennwörtern, die er aus einer anderen Quelle, z. B. dem Dark Web, erhalten hatte. Anhand dieser Liste wurde versucht, sich bei Norton-Kundenkonten anzumelden.
NortonLifeLock schreibt, dass die eigenen Systeme nicht angegriffen wurden. Es gab auch keine Schwachstelle in den Produkten. Der Anbieter ist nach der Analyse des Angriffs jedoch der festen Überzeugung, dass ein unbefugter Dritter den Benutzernamen und das Kennwort für eine Reihe von Benutzerkonten Konto kennt und verwendet hat (nämlich bei allen NortonLifeLock-Benutzerkonten, bei denen Benutzername und Kennwort aus den verwendeten Listen hervorgeht).
Anzeige
Der Anbieter schreibt in seiner Mitteilung (siehe obiges Bild und den Text am Artikelende), dass der Angreifer beim Zugriff auf ein Benutzerkonto möglicherweise den Vornamen, Nachnamen, die Telefonnummer und die Postanschrift Konteninhabers einsehen konnte. Aus den internen Unterlagen des Unternehmens geht zudem hervor, dass die Nutzer die Norton Password Manager-Funktion verwenden.
Zugriff auf Passwort-Manager?
NortonLifeLock kann nicht ausschließen, dass der unbefugte Dritte auch auf die dort gespeicherten Daten zugegriffen hat, insbesondere wenn der Password Manager-Schlüssel mit Ihrem Norton-Kontopasswort identisch oder diesem sehr ähnlich ist.
Das Unternehmen warnt, dass, wenn auf Daten der Benutzerkonten zugegriffen wurde, der unbefugte Dritte diese Daten anderen unbefugten Parteien zur Verfügung stellen könnte. Es ist naheliegend, dass die verwendete Kombination aus Kennwort und E-Mail-Adresse für weitere Anmeldeversuche anderer Online-Konten verwendet wird.
Der Anbieter hat bereits zu Beginn der Ermittlungen die Norton-Passwörter der betroffenen Konten zurückgesetzt, um weitere Zugriffsversuche auf Ihr Konto durch den unbefugten Dritten zu verhindern. Unklar ist, ob die Betroffenen direkt per Mail vom Unternehmen informiert wurden. Jedenfalls zeigt der Fall erneut, wie riskant die Verwendung von Online-Passwort-Managern ist.
Das Ganze ist aber auch ein Benutzerfehler, die Kombinationen von Benutzername und Kennwort wohl für verschiedene Online-Konten verwendet haben. Kommt es zu einem Datenschutzvorfall, bei der diese Daten erbeutet werden, wandern diese in Listen, die für Credentiaö Stuffing-Angriffe verwendet werden. Wer also ein Online-Konto bei NortonLifeLock besitzt, und bisher noch keine Kenntnis von dem Vorfall hatte, sollte schleunigst reagieren und die Kennwörter der Benutzerkonten ändern.
Nachfolgend findet sich der Text der Mitteilung von Norton LifeLock
Not Norton LifeLock
Dear Valued Customer,
We are writing to notify you of an incident involving your personal information.
Norton has intrusion detection systems in place to protect our customers and their data. These systems alerted us that an unauthorized third party likely has knowledge of the email and password you have been using with your Norton account (login.norton.com) and your Norton Password Manager. We recommend you change your passwords with us and elsewhere immediately.
What happened
On December 12, 2022, we detected an unusually large volume of failed logins to customer accounts. We quickly took steps to investigate, and on around December 22, 2022, we determined that, beginning around December 1, 2022, an unauthorized third party had used a list of usemames and passwords obtained from another source, such as the dark web, to attempt to log into Norton customer accounts. Our own systems were not compromised. However, we strongly believe that an unauthorized third party knows and has utilized your usemame and password for your account. This usemame and password combination may potentially also be known to others.
In accessing your account with your usemame and password, the unauthorized third party may have viewed your first name, last name, phone number, and mailing address. Our records indicate that you utilize our Norton Password Manager feature and, we cannot rule out that the unauthorized third party also obtained details stored there especially if your Password Manager key is identical or very similar to your Norton account password. If your data has been accessed, the unauthorized third party could make this data available to other unauthorized parties or use the password and email combination to try to access your other online accounts.
Steps we have taken
To protect you best, early in our investigation, we quickly reset your Norton password in order to prevent additional attempts to access your account by the unauthorized third party. In addition, we took numerous measures to counter the efforts of these unauthorized third parties and to impede their efforts to validate credentials and access accounts. We care deeply about your Cyber Safety and work to provide the best security for your data, such as offering two-factor authentication which we strongly encourage you to use We are making a credit monitoring service available to you. If you would like additional information about this incident, or information on credit monitoring please contact our customer service (contact details below). This notification was not delayed as a result of a law enforcement investigation.
NortonUfelocic Inc. ; 60 E Rio Satufo Pkvey STE /COD. Tempe. AZ 85281 : Nort0niaLoc1c.com
Ähnliche Artikel:
Investoren aus Bahrein übernehmen AV-Hersteller Avira
Avira for Business für 1.1.2022 abgekündigt
Verkauft: Avira geht an an neuen Eigentümer NortonLifeLock
Krass: Norton 360 installiert Krypto-Miner
Avira Crypto: Auch Avira lockt die Nutzer mit Krypto-Miner
Norton 360 Krypto-Miner: Der Anbieter schöpft den Profit ab, Nutzer schauen in die Röhre
Avast wird von Norton für 8,6 Milliarden US-Dollar gekauft
Symantec-Übernahme durch Broadcom abgeschlossen
Nutzerberichte: TP-Link-Router teilen Traffic mit Drittanbietern (Avira)
Anzeige
So nach und nach werden jetzt wohl alle Online-Passwort-Safes demontiert…
Wenn es danach geht, sind Papier und Stift der einzig sicherer Passwort-Manager.
Die Leute wollen nicht begreifen, dass sie Passwörtern kreativ(er) sein müssen. Letztens berichtete heise.de über 18k gehackte Passwörter der US-Regierung … Nur Faulheit (oder Ignoranz) kann zu z. B. Passwort-123 führen.
>>> Die Leute wollen nicht begreifen, dass sie Passwörtern kreativ(er) sein müssen.
Wenn eine Person mental nur in der Lage ist von 1 bis 10 zu zählen, nutzt es nichts dieser Person etwas von 11 oder 17 oder 397.658 zu erzählen – diese Person wird das niemals verstehen…
Ausnahmen. Sicher, die gibt es. Aber die Mehrheit wird unbegleitet mit einem PC zurechtkommen.
Warum tut die Mehrheit es dann nicht?
Man kann die Leute auch zu sicheren Passwörtern zwingen.
In meiner Firma haben wir von Lieferanten/Kunden entsprechende Zugänge zu deren Portalen und diese verlangen alle als Mindestvoraussetzung für das Passwort:
1. Mindestens 8 Zeichen
2. Mindestens 1 Großbuchstabe
3. Mindestens 1 Kleinbuchstabe
4. Mindestens eine Ziffer
5. Mindestens ein Sonderzeichen
Alle diese Bedingungen müssen erfüllt sein.
Zudem muß man alle 3 Monate sein Passwort ändern.
Das kommt automatisch bei einer Anmeldung und erst wenn man das Passwort geändert hat, kommt man rein.
Und es gibt eine Passworthistorie:
Das neue Passwort darf zudem nicht identisch oder ähnlich sein zu den vorherigen 10 Passwörtern.
Bei Online Passwortmanager-Konten sollte so etwas zur Pflicht gehören.
Dann wäre die Gefahr, das Passwörter gehackt werden können, schon einmal deutlich reduziert.
Und das Thema zeigt sehr schön, wie Online-Passwortmanager die Sicherheit verschlechtern, da beim Hack des Manager-Passworts der Hacker gleich auch an alle im Manager gespeicherte Passwörter und Zugangsdaten heran kommt.
> Zudem muß man alle 3 Monate sein Passwort ändern.
Da wird dir jeder gute Admin widersprechen. Ein wirklich gutes Passwort sollte man eben nicht ändern.
Es alle 3 Monate zu ändern sorgt nur dafür, dass die meisten halt einen Buchstaben austauschen oder eine Zahl höher gehen. Es bringt effektiv wirklich nichts außer mehr Verwirrung.
Hier wurde aber kein Online-Passwortmanager demontiert, sondern User, die Passwörter wiederverwenden.
Gut dass ich kein Produkt von Norton mehr einsetze.
Online Passwortsafes oder überhaupt Programme die Passworte verwalten seien es die Browser oder separate Passwortprogramme sind potentiell unsicher. Stift und Papier sind leider wirklich das Sicherste. Und nein ich meine kein Post-it am Monitor im Büro. Aber was spricht gegen ein kleines Buch was man immer am Mann oder der Frau hat und wenn man es nicht benötigt deponiert man es an einem sicheren Ort z.B. Safe Geldkassette usw..
Das Buch könnte verloren gehen. Daher am besten die Passwörter nicht vollständig notieren, sondern einen festen Teilstring voranstellen:
Teilstring: X6p3!AuY
Im Buch:
Amazon: AfgJ6tz1
NAS: WzuSdfGp
Wenn Du Dich dann z.B. bei Amazon anmelden willst ist das Passwort dann: X6p3!AuYAfgJ6tz1
Den Teilstring muss Du Dir merken und der kann permanent an einem sicheren Ort gelagert werden.
Sind das Buch oder die Daten abhanden gekommen, so sind diese alleine wertlos.
Des Weiteren wo immer es geht 2FA verwenden!
Teilstringe im PW verbessern allerdings auch nicht wirklich die Sicherheit (spätestens nach dem 2. Leak ist der Teilstring klar ersichtlich) und wenn man ein PW nach einem Leak wechseln muss, dann wäre es auch eher ungünstig einen Teil davon (den Teilstring) gleich wieder für ein neues PW zu verwenden.
Und so toll 2FA für verbesserte Sicherheit beim Login ist, so sehr wird es zur Falle für den Normalverbraucher, der dann seinen 2. Faktor so sicher behandelt, wie er bisher mit Passwörtern umgegangen ist. Der steht dann plötzlich ohne den 2. Faktor da und es gibt keine weitere Recovery-Option für den Account bzw. die vorhandenen gehen (nicht) mehr.
> Sind das Buch oder die Daten abhanden gekommen, so sind diese alleine wertlos.
Und dann gibt es noch den Fall 'beide abhanden gekommen' oder 'Zugriff durch einen Mitbewohner'…
fester Teilstring: Was machst Du mit allen anderen Passwörtern, die (D)einen kompromittierten Teilstring enthalten – alle auf den gleichen *neuen* Teilstring wechseln? Da wäre ich ja bei mir Tage beschäftigt…! Diese Methode habe ich vor mehr als einer Dekade ad acta gelegt, zu viel (zyklischer) Aufwand, schließlich will oder muss man hier und da das Passwort ja mal mit bestimmter Frequenz ändern (und die kann auch noch unterschiedlich sein). Da muss man ja alles ändern, sonst kann man sich das ja nicht merken.
Mann kann statt Buch auch ein altes Handy nehmen, Flugmodus ein (bleibt bei ALLEN Handys auch beim Neustart erhalten), KeePass oder sonstwass offline drauf, und man kann auch 2FA-QR-Codes oder Strings so mit abspeichern, dass man sie auch schnell wieder finden kann.
Eine Offline-Authenticator noch für 2FA drauf, dass schafft kein Papier!
Wegschließen kann man es immer noch.
> Stift und Papier sind leider wirklich das Sicherste. […] was spricht gegen ein kleines Buch was man immer am Mann oder der Frau hat
Es gibt keine 100% Sicherheit. Es kommt darauf an, wie a) der Einsatzzweck aussieht und b) wovor man sich im konkreten Fall schützen möchte.
Mit einem Zettel ist man 'sicherer' vor all den Online-Angriff auf Cloud-Lösungen, aber gegen Einbruch / Diebstahl / Mitbewohner / etc. hilft das kleine Buch überhaupt nicht. Will zudem gut gepflegt werden, wird bei vielen Logins eher unübersichtlich und auch in der Handhabung nerviger immer wieder das Buch aus 'dem sicheren Ort' zu holen, wenn man sich anmelden möchte.
Weitere Sachen, wie Sicherung von QR-Codes (etwa der Aktivierung von 2FA) oder eben langen Passworten mit Sonderzeichen machen das handschriftliche Festhalten und später wieder eingeben der Passwörter auch nicht leichter.
Und dann ist die Frage, wo man Zugriff auf die Logindaten benötigt. Für unterwegs ist so ein Buch mit 'Klartextpassworten' auch nicht gerade optimal und dann gilt es auch Backups / Sicherungen zu bedenken. Ansonsten steht man im Worst-Case ganz ohne irgendwelchen Daten da.
Von all den Möglichkeiten, wie Passwörter und Logindaten abgegriffen werden können, noch gar nicht gesprochen. Sei es über Schadsoftware am Rechner oder Eingabe auf eine Phishing-Seite. Auch da ist der Zettel nicht wirklich sicherer.
Nicht falsch verstehen: Man kann mit Stift und Buch weit kommen, wenn man damit das eigene Szenario gut abdecken kann und die Sicherheit das abdeckt, was man selbst als größte Bedrohung für einen selbst ansieht. Nur ist es nicht die 100% Lösung für jeden / jeden Einsatzzweck und am Ende liegt auch immer mit am User, der die Sicherheit mit beeinflusst.