Felhasználói adatokat szivárogtató biztonsági rést foltozott a NordVPN

Érzékeny felhasználói adatokhoz engedett hozzáférést a NordVPN nemrég befoltozott sebezhetősége. A biztonsági rés, ahogy arról a The Register beszámolt, fizetési adatokat és email címeket is elérhetővé tett illetéktelenek számára.

A sérülékenység kiaknázása ráadásul kifejezetten egyszerű volt, ahhoz mindössze egy HTTP POST lekérést kellett küldeni, bármiféle azonosítás nélkül a join.nordvpn.com címre. A weboldal API-jától erre válaszul kapott információkból a potenciális támadók a felhasználók email címét, a NordVPN rendszerében használt azonosítószámát, fizetési módját és a hozzá kapcsolódó URL-t, a kifizetett összeget és pénznemet, illetve azt is megtudhatták, az adott ügyfél a cég melyik termékét vette meg. Az azonosítószám megváltoztatásával lehetőség volt más felhasználók hasonló adatait is lekérni.

Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.

A hibát a HackerOne bug bounty platformon jelezte egy "dakitu" néven futó biztonsági szakértő, azt pedig a NordVPN gyorsan javította - mint a cég szóvivője a ZDNetnek sietett hangsúlyozni, elszigetelt esetről van szó, amely három, kisméretű fizetési szolgáltató ügyfeleire korlátozódott és csak egy bizonyos időkereten belül volt kihasználható. A szóvivő azt is hozzátette, a felhasználói azonosítók generálását a vállalat a külső felek számára már a kezdetektől fogva korlátozza, ennek megfelelően ha a sérülékenységet egy támadó széles körben próbálta volna kihasználni, azt a NordVPN is észlelte volna - a cég a sebezhetőség orvoslása előtti időszakban semmilyen gyanús tevékenységet nem tapasztalt felületén.

A vállalat a sérülékenységet még tavaly decemberben foltozta be, arról nem beszélt, tervezi-e értesíteni legalább a maroknyi érintett felhasználóját az eset kapcsán. A hibát elcsípő biztonsági kutató egyébként ezer dollár jutalmat tehetett zsebre.