El error NordVPN HTTP POST expuso la información del cliente, no se requiere autenticación



NordVPN ha tapado un agujero en la plataforma de pago de la compañía que filtró datos confidenciales de los clientes. Según lo informado por The Register, la vulnerabilidad se hizo pública en HackerOne en febrero, una plataforma de recompensas de errores en la que los investigadores pueden revelar de forma privada los problemas de seguridad a los proveedores a cambio de créditos y recompensas financieras. Divulgado por un investigador con el nombre de "dakitu" y emitió un puntaje de severidad "alto" de 7 - 8.
9, la vulnerabilidad de Referencia Directa de Objetos Inseguros (IDOR) podría activarse enviando una solicitud HTTP POST al nordvpn. dominio com. Consulte también: Cómo encontrar el mejor servicio VPN: su guía para mantenerse seguro en Internet Sin ninguna forma de autenticación, una solicitud enviada a la API del sitio web devolvería una cadena de información del usuario.
Se utilizó una cuenta de prueba para hacer ping a la información que incluye direcciones de correo electrónico, registros de pago de comerciantes, URL, productos comprados y montos pagados. Al cambiar la ID de usuario, el error podría usarse para ver otra información de perfil y conjuntos de datos. Una portavoz de NordVPN le dijo a ZDNet: "Hemos confirmado con nuestro equipo técnico que el problema se reveló en H1 solo después de evaluar que no se habían explotado datos.
La vulnerabilidad se aisló en tres proveedores de pagos pequeños y fue posible explotarla solo en un plazo limitado. Terceros las solicitudes para generar ID automáticamente siempre han sido limitadas por la tasa. Durante el período en que existió la vulnerabilidad, nuestro sistema de detección no indicó ningún comportamiento sospechoso.
Estamos muy contentos con el programa de recompensas de errores. Por eso, podemos solucionar los problemas antes de que puedan ser explotados ". CNET: Las mejores VPN gratuitas: 5 razones por las que no existen La vulnerabilidad se parchó en diciembre y se le otorgó a dakitu una recompensa por errores de $ 1,000.
Al mismo tiempo, también se resolvió una recompensa de errores por separado en la plataforma NordVPN. El investigador th3pr0xyb0y reveló un problema de limitación de velocidad en la página de contraseñas olvidadas de NordVPN, en el que no había un límite para las solicitudes de contraseñas. Se otorgó una recompensa por errores de $ 500 por el segundo problema de seguridad.
TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber El año pasado, el servicio VPN reveló una violación de datos en uno de sus centros de datos, causada por un sistema de administración remota que pertenece a un proveedor de centro de datos externo. NordVPN no sabía que existía hasta que un atacante cibernético obtuvo acceso, pero dada la gravedad del problema, ya que los servicios VPN confían en la confianza del usuario y la protección de datos para tener éxito, la compañía rescindió de inmediato su contrato de alquiler del centro de datos y se mudó a otro lugar . pag VER GALERÍA COMPLETA ¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı