ГлавнаябезопасностьNordVPN: сообщается об ошибке раскрытия конфиденциальных данных клиентов!

NordVPN: сообщается об ошибке раскрытия конфиденциальных данных клиентов!

NordVPN сообщил об ошибке в своей платежной платформе, которая позволила компании утекать конфиденциальные и конфиденциальные данные клиентов. Эта ошибка может быть использована только одним запрос

Реклама
. Как сообщает "The Register", уязвимость была опубликована в феврале на сайте HackerOne, ошибка баунти платформа, на которой исследователи могут раскрыть в частном порядке вопросы безопасности продавцам в обмен на финансовое вознаграждение. Уязвимость, которую обнаружил исследователь по имени «dakitu», имеет оценку 7-8,9, что означает, что ей присвоена «критическая степень серьезности». Уязвимость в Небезопасная прямая ссылка на объект (IDOR) может быть просто запущен отправкой HTTP-запроса POST на northvpn.com домен.

Без какой-либо формы идентификациязапрос отправлен API из сайт раскроет диапазон пользовательской информации и данных. Демо-счет был использован для Pingback информация, включая адреса e-mail, торговые платежные записи, адреса URL, купленные продукты и уплаченные суммы. Изменяя идентификатор пользователя, ошибка может потенциально использоваться для отображения другой информации профиля и наборов данных.NordVPN: сообщается об ошибке раскрытия конфиденциальных данных клиентов!

Представитель NordVPN сообщил ZDNet, что с помощью своей технологической команды компания подтвердила, что уязвимость была раскрыта только для H1 после того, как данные не были скомпрометированы. Уязвимость была изолирована тремя небольшими поставщиками платежей и могла использоваться только в течение ограниченного времени. Сторонние запросы на автоматические идентификаторы всегда были ограничены. На момент выпуска этой конкретной уязвимости система обнаружения компании не показала подозрительной активности. Компания также довольна программой баунти-багов, поскольку она может исправить любые уязвимости, прежде чем ее можно будет использовать для злоумышленная деятельность.

Эта уязвимость была исправлена ​​в декабре, и dakitu был награжден за $ 1.000 ошибок. В то же время на платформе NordVPN была обнаружена ошибка. Исследователь Th3pr0xyb0y обнаружил значение, которое ограничивает значение забытой страницей пароль NordVPN, так как не было ограничений на запросы пароля. Второй вопрос безопасности был оштрафован на 500 долларов.

В прошлом году сервис VPN показал один нарушение данных в одном из своих центров обработки данных, запущенных системой удаленного управления, принадлежащей стороннему поставщику центра обработки данных. NordVPN не знал об этом, пока один хакерам удалось получить доступ, но с учетом серьезности вопроса - поскольку услуги VPN полагаться на доверие пользователей и защиту данных для достижения успеха - компания переместила свой бизнес в другое место.

 

spot_img

ЖИВЫЕ НОВОСТИ