Un serviciu popular VPN ar fi expus datele clienților


NordVPN, unul dintre cele mai populare servicii de rețele private virtuale (VPN), a remediat un defect de securitate despre care se spune că a expus adresele de e-mail ale clienților, plus alte informații.

Lacuna de securitate a fost legată de trei platforme de plată utilizate de NordVPN - Momo, Gocardless și Coinpayments. Potrivit The Register, primii care au scris despre această problemă, defectul a fost descoperit de un cercetător sub pseudonimul „dakitu” și a fost dezvăluit prin intermediul HackerOne, o platformă populară unde se primesc recompense pentru bug-urile descoperite.

Cercetătorul a arătat că oricine a trimis o solicitare HTTP POST fără să se autentifice la join.nordvpn.com, a putut vedea adresele de e-mail ale utilizatorilor, metoda de plată și adresa URL, produsul pe care l-au achiziționat, suma pe care au plătit-o și chiar moneda folosită în tranzacție.

Există câteva neclarități cu privire la gravitatea erorii, NordVPN spunând într-o declarație că doar un număr foarte mic de adrese de e-mail aleatorii ar fi fost expuse și nicidecum alte date despre clienți.

Vulnerabilitatea a fost descoperită pe 4 decembrie 2019, înainte de a fi rezolvată de NordVPN două zile mai târziu. Defectul și patch-ul său au fost făcute publice pe site-ul lor web în februarie, iar „dakitu” a primit o recompensă în valoare de 1.000 de dolari pentru eforturile depuse.

NordVPN nu a declarat dacă și-a notificat clienții despre această vulnerabilitate. În orice caz, compania a fost mulțumită de rezultat, afirmând că acesta este unul dintre motivele pentru care au lansat programul lor de recompensare a erorilor și că speră să obțină mai multe beneficii pe viitor: „Suntem extrem de fericiți de rezultatele programului și încurajăm mai mulți cercetători să ne analizeze produsul.”

În luna octombrie a anului trecut, NordVPN a fost criticat pentru faptul că i-a luat prea mult timp pentru a remedia o breșă de securitate care ar fi putut data încă din luna martie 2018. Compania a susținut că motivele din spatele întârzierii au ținut de anvergura auditului infrastructurii sale și a numărului de servere de care compania are nevoie pentru a-și găzdui serviciul.

Amer Owaida March 12, 2020

Lasa un comentariu