L'exploit potrebbe essere attivato con una semplice richiesta.
NordVPN ha tappato un buco nella piattaforma di pagamento dell'azienda che ha fatto trapelare dati sensibili dei clienti.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Come riportato da Il registro, la vulnerabilità è stata resa pubblica a febbraio su HackerOne, una piattaforma bug bounty in cui i ricercatori possono rivelare privatamente problemi di sicurezza ai fornitori in cambio di crediti e ricompense finanziarie.
Dichiarata da un ricercatore con il nome "dakitu" e con un punteggio di gravità "alto" compreso tra 7 e 8,9, la vulnerabilità Insecure Direct Object Reference (IDOR) potrebbe essere attivata inviando un POST HTTP richiesta al dominio nordvpn.com.
Guarda anche: Come trovare il miglior servizio VPN: la tua guida per rimanere al sicuro su Internet
Senza alcuna forma di autenticazione, una richiesta inviata all'API del sito restituirebbe una stringa di informazioni sull'utente. È stato utilizzato un account di prova per eseguire il pingback di informazioni tra cui indirizzi e-mail, record dei commercianti di pagamenti, URL, prodotti acquistati e importi pagati.
Modificando l'ID utente, il bug potrebbe essere potenzialmente utilizzato per visualizzare altre informazioni sul profilo e set di dati.
Un portavoce di NordVPN ha detto a ZDNet:
"Abbiamo confermato con il nostro team tecnico che il problema è stato segnalato nel primo semestre solo dopo aver valutato che nessun dato era stato sfruttato. La vulnerabilità è stata isolata da tre piccoli fornitori di servizi di pagamento e può essere sfruttata solo entro un periodo di tempo limitato. Le richieste di terze parti per generare automaticamente gli ID sono sempre state limitate. Nel periodo in cui esisteva la vulnerabilità, il nostro sistema di rilevamento non ha indicato alcun comportamento sospetto.
Siamo molto contenti del programma bug bounty. Grazie a ciò, siamo in grado di risolvere i problemi prima che possano effettivamente essere sfruttati."
CNET: Le migliori VPN gratuite: 5 motivi per cui non esistono
La vulnerabilità è stata corretta a dicembre e a Dakitu è stata assegnata una ricompensa per il bug di 1.000 dollari.
Allo stesso tempo, a taglia bug separata è stato risolto anche nella piattaforma NordVPN. Il ricercatore th3pr0xyb0y ha rivelato un problema di limitazione della velocità sulla pagina della password dimenticata di NordVPN, in cui non esisteva alcun limite per le richieste di password.
Per il secondo problema di sicurezza è stata assegnata una ricompensa di 500 dollari.
Repubblica Tecnica: Coronavirus: cosa devono sapere i professionisti aziendali
L'anno scorso, il servizio VPN ha rivelato una violazione dei dati in uno dei suoi data center, causato da un sistema di gestione remota appartenente a un fornitore di data center terzo.
NordVPN non ne sapeva l'esistenza finché un cyberattaccante non ne ha ottenuto l'accesso, ma data la gravità del problema, poiché i servizi VPN si basano sull'utente fiducia e protezione dei dati per avere successo: l'azienda ha immediatamente rescisso il contratto di noleggio del data center e ha rilevato la propria attività altrove.
I 10 peggiori hack e violazioni dei dati del 2019 (in immagini)
Copertura precedente e correlata
-
Gli hacker iraniani hanno violato i server VPN per installare backdoor nelle aziende di tutto il mondo
-
Come scegliere la VPN più adatta a te
-
Recensione NordVPN: rinnovamento delle pratiche di sicurezza, ma comunque utile
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnala al +447713 025 499, o tramite Keybase: charlie0