:

Szerző: Hlács Ferenc

2020. március 10. 12:12

Felhasználói adatokat szivárogtató biztonsági rést foltozott a NordVPN

A sérülékenység email címeket és a fizetésekre vonatkozó információkat is elérhetővé tett.

Érzékeny felhasználói adatokhoz engedett hozzáférést a NordVPN nemrég befoltozott sebezhetősége. A biztonsági rés, ahogy arról a The Register beszámolt, fizetési adatokat és email címeket is elérhetővé tett illetéktelenek számára.

A sérülékenység kiaknázása ráadásul kifejezetten egyszerű volt, ahhoz mindössze egy HTTP POST lekérést kellett küldeni, bármiféle azonosítás nélkül a join.nordvpn.com címre. A weboldal API-jától erre válaszul kapott információkból a potenciális támadók a felhasználók email címét, a NordVPN rendszerében használt azonosítószámát, fizetési módját és a hozzá kapcsolódó URL-t, a kifizetett összeget és pénznemet, illetve azt is megtudhatták, az adott ügyfél a cég melyik termékét vette meg. Az azonosítószám megváltoztatásával lehetőség volt más felhasználók hasonló adatait is lekérni.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A hibát a HackerOne bug bounty platformon jelezte egy "dakitu" néven futó biztonsági szakértő, azt pedig a NordVPN gyorsan javította - mint a cég szóvivője a ZDNetnek sietett hangsúlyozni, elszigetelt esetről van szó, amely három, kisméretű fizetési szolgáltató ügyfeleire korlátozódott és csak egy bizonyos időkereten belül volt kihasználható. A szóvivő azt is hozzátette, a felhasználói azonosítók generálását a vállalat a külső felek számára már a kezdetektől fogva korlátozza, ennek megfelelően ha a sérülékenységet egy támadó széles körben próbálta volna kihasználni, azt a NordVPN is észlelte volna - a cég a sebezhetőség orvoslása előtti időszakban semmilyen gyanús tevékenységet nem tapasztalt felületén.

A vállalat a sérülékenységet még tavaly decemberben foltozta be, arról nem beszélt, tervezi-e értesíteni legalább a maroknyi érintett felhasználóját az eset kapcsán. A hibát elcsípő biztonsági kutató egyébként ezer dollár jutalmat tehetett zsebre.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

3

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.