Jedna z najpopularniejszych dostępnych obecnie usług VPN mogła ujawnić informacje o płatnościach klientów z powodu poważnego naruszenia bezpieczeństwa. Badacze bezpieczeństwa odkryli lukę w platformie płatniczej używanej przez NordVPN, z której korzystają miliony użytkowników na całym świecie. Zdaniem zespołu z firmy zajmującej się bezpieczeństwem HackerOne luka mogła umożliwić hakerom dostęp do informacji o kontach użytkowników, w tym adresów e-mail i historii zakupów.
NordVPN Bezpieczeństwo
Według The Register, którego błąd zgłosił dany użytkownik, każdy, kto wyśle żądanie HTTP POST w celu dołączenia do .nordvpn.com bez żadnego uwierzytelnienia, będzie mógł uzyskać dostęp do adresów e-mail użytkowników, metody płatności i adresu URL, walutę, zapłaconą kwotę, a nawet jakie konkretne produkty zakupili. Naprawiona usterka została upubliczniona na początku lutego na platformie wykrywania błędów HackerOne, a firma poinformowała, że skontaktowała się w tej sprawie z NordVPN. W oświadczeniu NordVPN stwierdził, że jest to „odosobniony przypadek”, który mógł dotyczyć jedynie „garstki użytkowników”. Firma nie potwierdziła, czy poinformowała klientów o luce, ale stwierdziła, że docenia pracę społeczności HackerOne. „Takie raporty są jednym z powodów, dla których uruchomiliśmy program nagród za błędy” – powiedziała rzeczniczka firmy Jody Myers w rozmowie z The Register. „Jesteśmy bardzo zadowoleni z wyników i zachęcamy większą liczbę badaczy do sprawdzenia naszego produktu. Jest to odosobniony przypadek, który dotknął tylko garstkę użytkowników ze względu na ograniczenie prędkości. Teoretycznie tylko adresy e-mail mogły być przeglądane przez trzecią osobę”. Firma jest jedyną znaną dużą organizacją VPN, która zarejestrowała się w programie HackerOne, który płaci testerom penetracyjnym za znajdowanie błędów w jej infrastrukturze, aplikacjach i aplikacjach. NordVPN trafił na pierwsze strony gazet w październiku zeszłego roku, kiedy firma ujawniła, że w marcu 2018 r. doświadczyła poważnego naruszenia bezpieczeństwa danych, mimo że była w stanie ograniczyć szkody i liczbę zaangażowanych klientów. Przez: rejestr