Felhasználói adatokat szivárogtató biztonsági rést foltozott a NordVPN

Érzékeny felhasználói adatokhoz engedett hozzáférést a NordVPN nemrég befoltozott sebezhetősége. A biztonsági rés, ahogy arról a The Register beszámolt, fizetési adatokat és email címeket is elérhetővé tett illetéktelenek számára.

A sérülékenység kiaknázása ráadásul kifejezetten egyszerű volt, ahhoz mindössze egy HTTP POST lekérést kellett küldeni, bármiféle azonosítás nélkül a join.nordvpn.com címre. A weboldal API-jától erre válaszul kapott információkból a potenciális támadók a felhasználók email címét, a NordVPN rendszerében használt azonosítószámát, fizetési módját és a hozzá kapcsolódó URL-t, a kifizetett összeget és pénznemet, illetve azt is megtudhatták, az adott ügyfél a cég melyik termékét vette meg. Az azonosítószám megváltoztatásával lehetőség volt más felhasználók hasonló adatait is lekérni.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A hibát a HackerOne bug bounty platformon jelezte egy "dakitu" néven futó biztonsági szakértő, azt pedig a NordVPN gyorsan javította - mint a cég szóvivője a ZDNetnek sietett hangsúlyozni, elszigetelt esetről van szó, amely három, kisméretű fizetési szolgáltató ügyfeleire korlátozódott és csak egy bizonyos időkereten belül volt kihasználható. A szóvivő azt is hozzátette, a felhasználói azonosítók generálását a vállalat a külső felek számára már a kezdetektől fogva korlátozza, ennek megfelelően ha a sérülékenységet egy támadó széles körben próbálta volna kihasználni, azt a NordVPN is észlelte volna - a cég a sebezhetőség orvoslása előtti időszakban semmilyen gyanús tevékenységet nem tapasztalt felületén.

A vállalat a sérülékenységet még tavaly decemberben foltozta be, arról nem beszélt, tervezi-e értesíteni legalább a maroknyi érintett felhasználóját az eset kapcsán. A hibát elcsípő biztonsági kutató egyébként ezer dollár jutalmat tehetett zsebre.