La falla en el servicio VPN common puede haber expuesto los datos del cliente


NordVPN elogió su programa de recompensas de errores y dijo que se había enviado una solución en dos días

NordVPN, uno de los más populares red privada virtual (VPN), ha solucionado una falla de seguridad que se dice que ha expuesto las direcciones de correo electrónico de los clientes y otra información.

El agujero de seguridad estaba vinculado a tres plataformas de pago utilizadas por NordVPN: Momo, Gocardless y Coinpayments. De acuerdo a El registro, que fue el primero en informar sobre el problema, un investigador que descubrió el apodo «dakitu» descubrió la falla y se reveló a través de la well-known plataforma de recompensas de errores HackerOne.

El investigador descubrió que cualquiera que enviara una solicitud HTTP Article sin autenticación para unirse a nordvpn.com podía ver las direcciones de correo electrónico de los usuarios, el método de pago y la URL, el producto que compraron, la cantidad que pagaron e incluso la moneda utilizada en la transacción .

En realidad, existe cierta falta de claridad en cuanto a la gravedad del error, ya que NordVPN dijo en un comunicado hoy en día, solo un puñado de direcciones de correo electrónico aleatorias, y ningún otro dato del cliente, podrían haber estado en riesgo.

Sin embargo, la vulnerabilidad fue descubierta el 4 de diciembreth, 2019, antes de ser reparado por NordVPN dos días después. La falla y su parche se hicieron públicos en el sitio website en febrero y «dakitu» recibió una recompensa de recompensa de US $ 1,000 por sus esfuerzos.

NordVPN no dijo si había notificado a sus clientes sobre la vulnerabilidad o no. En cualquier caso, la compañía quedó satisfecha con el resultado, afirmando que es una de las razones por las que lanzaron su programa de recompensas de errores y que esperan obtener más beneficios en el futuro: «Estamos extremadamente contentos con sus resultados y alentamos incluso más investigadores para analizar nuestro producto «.

En octubre del año pasado, NordVPN fue criticado por tomarse demasiado tiempo para confesar una violación de seguridad que pudo haber durado desde marzo de 2018. La compañía argumentó que el largo período de divulgación period necesario debido al tamaño de su auditoría de infraestructura y la cantidad de servidores que la compañía ejecuta para alojar su servicio. .








Enlace a la noticia original