Szerző: Hlács Ferenc

2020. március 10. 12:12

Felhasználói adatokat szivárogtató biztonsági rést foltozott a NordVPN

A sérülékenység email címeket és a fizetésekre vonatkozó információkat is elérhetővé tett.

Érzékeny felhasználói adatokhoz engedett hozzáférést a NordVPN nemrég befoltozott sebezhetősége. A biztonsági rés, ahogy arról a The Register beszámolt, fizetési adatokat és email címeket is elérhetővé tett illetéktelenek számára.

A sérülékenység kiaknázása ráadásul kifejezetten egyszerű volt, ahhoz mindössze egy HTTP POST lekérést kellett küldeni, bármiféle azonosítás nélkül a join.nordvpn.com címre. A weboldal API-jától erre válaszul kapott információkból a potenciális támadók a felhasználók email címét, a NordVPN rendszerében használt azonosítószámát, fizetési módját és a hozzá kapcsolódó URL-t, a kifizetett összeget és pénznemet, illetve azt is megtudhatták, az adott ügyfél a cég melyik termékét vette meg. Az azonosítószám megváltoztatásával lehetőség volt más felhasználók hasonló adatait is lekérni.

Autista csodabogarak

Az informatikai közeg jó táptalaj a neurodivergens szakembereknek.

Autista csodabogarak Az informatikai közeg jó táptalaj a neurodivergens szakembereknek.

A hibát a HackerOne bug bounty platformon jelezte egy "dakitu" néven futó biztonsági szakértő, azt pedig a NordVPN gyorsan javította - mint a cég szóvivője a ZDNetnek sietett hangsúlyozni, elszigetelt esetről van szó, amely három, kisméretű fizetési szolgáltató ügyfeleire korlátozódott és csak egy bizonyos időkereten belül volt kihasználható. A szóvivő azt is hozzátette, a felhasználói azonosítók generálását a vállalat a külső felek számára már a kezdetektől fogva korlátozza, ennek megfelelően ha a sérülékenységet egy támadó széles körben próbálta volna kihasználni, azt a NordVPN is észlelte volna - a cég a sebezhetőség orvoslása előtti időszakban semmilyen gyanús tevékenységet nem tapasztalt felületén.

A vállalat a sérülékenységet még tavaly decemberben foltozta be, arról nem beszélt, tervezi-e értesíteni legalább a maroknyi érintett felhasználóját az eset kapcsán. A hibát elcsípő biztonsági kutató egyébként ezer dollár jutalmat tehetett zsebre.

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 5. 23:59

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

SEMMI

7

Bemutatkozott a Nothing első igazi csúcsmobilja

2025. július 3. 11:59

A prémium modellnek szánt Nothing Phone 3 legegyedibb vonása a hátlapon található Glyph Matrix, amivel a tervezők célja a főképernyő előtt töltött idő csökkentése.