Gen Digital – früher unter den Namen Norton oder Symantec bekannt – warnt aktuell Nutzer von NortonLifeLock, dass Angreifer versucht haben, auf zahlreiche Norton-Konten zuzugreifen. Sie hätten dabei diverse Nutzer-Passwort-Kombinationen durchprobiert, teilweise offenbar erfolgreich. Es handelt sich um einen sogenannten Credential-Stuffing-Angriff.

NortonLifeLock: Angriffe über drei Wochen

Woher die Daten stammen, ist dem Unternehmen dem eigenen Bekunden nach nicht bekannt. Laut einer Warnung an die Kunden kämen die Daten aus "anderen Quellen wie dem Darknet". "Unsere eigenen Systeme wurden nicht kompromittiert", führt Norton darin weiter aus. Die Warnung liegt etwa auf der Regierungs-Webseite von Vermont, die derzeit nicht erreichbar ist; eine Kopie findet sich jedoch im Google-Cache.

Die der Warnung zugrundeliegenden Ereignisse fanden bereits vor rund einem Monat statt. Am 12. Dezember des vergangenen Jahres bemerkten Nortons Techniker eine ungewöhnlich hohe Anzahl an fehlgeschlagenen Log-in-Versuchen. Die Untersuchungen ergaben am 22. Dezember, dass seit dem 1. Dezember 2022 unautorisierte Dritte versuchten, sich in Norton-Konten einzuloggen.

Bei den angeschriebenen Kunden ist das Unternehmen sich recht sicher, dass die Angreifer unbefugten Zugriff erlangt haben. Die Nutzername-Passwort-Kombination sei damit wahrscheinlich auch anderen bekannt, ergänzt Gen Digital.

Weitreichendere Auswirkungen: Passwortmanager gefährdet

Durch die Zugriffe auf die Nutzerkonten hätten die Angreifer in jedem Fall an den Vornamen, Nachnamen, Telefonnummer und die E-Mail-Adresse gelangen können. Sofern Betroffene den Norton Passwortmanager verwenden und dabei dasselbe oder ein ähnliches Passwort zum Schutz einsetzen wie für das Norton-Konto, könne das Unternehmen nicht ausschließen, dass die bösartigen Akteure an darin gespeicherte Informationen gelangt sind.

"Wenn auf Ihre Daten zugegriffen wurde, könnte der unbefugte Dritte diese anderen unbefugten Parteien zur Verfügung stellen oder das Passwort und die E-Mail-Kombination verwenden, um zu versuchen, auf Ihre anderen Online-Konten zuzugreifen", schreibt Gen Digital weiter an die Betroffenen. Zum Schutz der Kunden habe das Unternehmen bereits früh bei den Untersuchungen die Passwörter der Norton-Konten zurückgesetzt, um weitere Zugriffe durch unautorisierte Dritte zu unterbinden.

Auch hätten die Techniker weitere Maßnahmen ergriffen, um nachfolgende Versuche von Angreifern zu unterbinden, Kontenzugangsdaten zu überprüfen – hier könnte eine Fail2ban-Drosselung gemeint sein, sodass nach mehreren Fehlversuchen das zugreifende Gerät temporär blockiert wird. Zudem verweisen die Autoren der Nachricht an die Norton-Kunden darauf, dass Anwender zum besseren Schutz Mechanismen wie Zwei-Faktor-Authentifizierung nutzen können, die der Hersteller anbietet.

Gen Digital stelle den Betroffenen einen Kredit(karten)-Überwachungs-Dienst bereit. Zu der späten Benachrichtigung über den Vorfall verrät das Unternehmen nichts zu den Ursachen, erwähnt jedoch, dass die Verzögerung nicht auf Untersuchungen von Strafverfolgern zurückgehe.

NortonLifeLock-Nutzer sollten handeln

Betroffene sollten rasch handeln und ihre Passwörter ändern. Dies gilt auch für andere Konten, bei denen das Passwort oder eine Abwandlung davon genutzt wurden. Insbesondere, wenn sie den Norton Passwort Manager nutzen und eine Nachricht vom Hersteller erhalten haben, sollten auch alle in dem Passwortmanager verwalteten Konten mit frischen Passwörtern versorgt werden.

Kurz vor Weihnachten vergangenen Jahres gelang Cyberkriminellen auch der Zugriff auf Passwort-Tresore von Lastpass-Nutzern. Auch Lastpass gab als Tipp, das Passwort zum Tresor zu ändern, sofern es zuvor kein starkes Passwort oder nur einmalig genutztes war.

(dmk)