Τρίτη, 27 Οκτωβρίου, 15:49
Αρχική security NordVPN: Παρουσίασε σφάλμα που εκθέτει ευαίσθητα δεδομένα πελατών!

NordVPN: Παρουσίασε σφάλμα που εκθέτει ευαίσθητα δεδομένα πελατών!

Η NordVPN παρουσίασε στην πλατφόρμα πληρωμών της ένα σφάλμα το οποίο επιτρέπει τη διαρροή ευαίσθητων και εμπιστευτικών δεδομένων πελατών της εταιρείας. Αυτό το σφάλμα θα μπορούσε να το εκμεταλλευτεί κάποιος απλά με ένα αίτημα. Όπως αναφέρθηκε από το “The Register”, η ευπάθεια δημοσιοποιήθηκε τον Φεβρουάριο στο HackerOne, μια bug bounty πλατφόρμα, στην οποία ερευνητές μπορούν να αποκαλύψουν ιδιωτικά ζητήματα ασφαλείας σε πωλητές με αντάλλαγμα οικονομικές ανταμοιβές. Η ευπάθεια, η οποία εντοπίστηκε από έναν ερευνητή με την ονομασία “dakitu”, έχει βαθμολογία 7 – 8,9, πράγμα που σημαίνει ότι αξιολογείται ως “κρίσιμης σοβαρότητας”. Η ευπάθεια στο Insecure Direct Object Reference (IDOR) θα μπορούσε να ενεργοποιηθεί απλά με την αποστολή αιτήματος HTTP POST στο northvpn.com domain.

Χωρίς καμία μορφή επαλήθευσης ταυτότητας, ένα αίτημα που αποστέλλεται στο API του site θα αποκαλύψει μια σειρά πληροφοριών και δεδομένων χρηστών. Ένας δοκιμαστικός λογαριασμός χρησιμοποιήθηκε για pingback πληροφορίες, συμπεριλαμβανομένων των διευθύνσεων email, των αρχείων πληρωμής εμπόρων, των διευθύνσεων URL, των προϊόντων που αγοράζονται και των ποσών που καταβάλλονται. Αλλάζοντας το αναγνωριστικό χρήστη, το σφάλμα θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για την προβολή άλλων πληροφοριών προφίλ και συνόλων δεδομένων.

Μια εκπρόσωπος της NordVPN δήλωσε στο ZDNet ότι η εταιρεία έχει επιβεβαιώσει με την βοήθεια της τεχνολογικής της ομάδας ότι η ευπάθεια αποκαλύφθηκε στο H1 μόνο αφότου διασφαλίστηκε ότι δεν είχε παραβιαστεί κανένα δεδομένο. Η ευπάθεια απομονώθηκε σε τρεις μικρούς παρόχους πληρωμών και ήταν δυνατή η εκμετάλλευσή της μόνο μέσα σε ένα περιορισμένο χρονικό διάστημα. Οι αιτήσεις τρίτων μερών για την αυτόματη δημιουργία αναγνωριστικών στοιχείων ήταν πάντα περιορισμένες. Κατά την περίοδο που τέθηκε το ζήτημα της συγκεκριμένης ευπάθειας, το σύστημα ανίχνευσης της εταιρείας δεν έδειξε καμιά ύποπτη δραστηριότητα. Επίσης, η εταιρεία δηλώνει ικανοποιημένη με το bug bounty πρόγραμμα, καθώς χάρη σε αυτό μπορεί να διορθώσει τυχόν ευπάθειες προτού να μπορέσει να τις εκμεταλλευτεί κάποιος για κακόβουλη δραστηριότητα.

Η εν λόγω ευπάθεια διορθώθηκε το Δεκέμβριο και στον dakitu απονεμήθηκε ένα bug bounty 1.000 δολαρίων. Ταυτόχρονα τέθηκε και ένα bug bounty στην πλατφόρμα της NordVPN. Ο ερευνητής th3pr0xyb0y αποκάλυψε ένα θέμα που περιορίζει την τιμή στη σελίδα ξεχασμένου κωδικού πρόσβασης της NordVPN, καθώς δεν υπήρχε όριο για αιτήσεις κωδικού πρόσβασης. Για το δεύτερο ζήτημα ασφαλείας δόθηκε χρηματική αποζημίωση ύψους 500 δολαρίων.

Τον περασμένο χρόνο, η υπηρεσία VPN αποκάλυψε μια παραβίαση δεδομένων σε ένα από τα κέντρα δεδομένων της, που προκλήθηκε από ένα σύστημα απομακρυσμένης διαχείρισης το οποίο ανήκε σε πάροχο κέντρου δεδομένων τρίτου μέρους. Η NordVPN δεν γνώριζε γι αυτό μέχρι τη στιγμή που ένας χάκερ κατάφερε να αποκτήσει πρόσβαση, αλλά δεδομένης της σοβαρότητας του θέματος – καθώς οι υπηρεσίες VPN βασίζονται στην εμπιστοσύνη των χρηστών και την προστασία των δεδομένων για να είναι επιτυχείς – η εταιρεία μετέφερε την επιχείρησή της αλλού .

 

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...

Χάκερ κλέβει 24 εκατ. $ από την υπηρεσία cryptocurrency Harvest Finance

Ένας χάκερ έχει κλέψει «cryptocurrency assets» αξίας περίπου 24 εκατομμυρίων δολαρίων από την υπηρεσία αποκεντρωμένης χρηματοδότησης (DeFi) Harvest Finance, μια διαδικτυακή πύλη...

Ransomware επίθεση “χτύπησε” εκλογικό database στη Τζόρτζια των ΗΠΑ!

Μια ransomware επίθεση έπληξε κομητεία της Τζόρτζια των ΗΠΑ στις αρχές του μήνα, επηρεάζοντας ένα database που χρησιμοποιείται για την επαλήθευση των...