Um dos serviços VPN mais populares disponíveis atualmente pode ter exposto as informações de pagamento dos clientes devido a uma falha de segurança significativa.
Os pesquisadores de segurança descobriram uma vulnerabilidade na plataforma de pagamento usada pelo NordVPN , que possui milhões de usuários em todo o mundo.
A falha poderia ter permitido aos hackers acesso a informações de contas de usuários, incluindo endereços de e-mail e histórico de compras, de acordo com a equipe da empresa de segurança HackerOne.
Segurança NordVPN
De acordo com o The Register, que tinha a falha sinalizada por um usuário em questão, qualquer pessoa que fizesse uma solicitação HTTP POST para entrar no join.nordvpn.com sem autenticação seria capaz de acessar os endereços de e-mail dos usuários, forma de pagamento e URL, moeda, valor pago e mesmo quais produtos específicos eles compraram.
A falha corrigida foi tornada pública no início de fevereiro na plataforma de recompensas de bugs do HackerOne, com a empresa dizendo que havia entrado em contato com a NordVPN sobre o problema.
Em comunicado, a NordVPN disse que este era “um caso isolado” que potencialmente poderia ter afetado apenas um “punhado de usuários”.
A empresa não confirmou se havia informado aos clientes sobre a falha, mas disse que apreciava o trabalho da comunidade HackerOne.
“Tais relatórios são uma das razões pelas quais lançamos o programa de recompensas por bugs”, disse a porta-voz da empresa, Jody Myers, ao The Register.
“Estamos extremamente satisfeitos com seus resultados e incentivamos ainda mais pesquisadores a analisar nosso produto. Este é um caso isolado que potencialmente afetou apenas um punhado de usuários, devido à limitação de taxa implementada. Teoricamente, apenas endereços de e-mail poderiam ser vistos pelo uma terceira festa.”
A empresa é a única grande organização VPN conhecida a se alistar no programa HackerOne, que paga testadores de penetração por encontrar bugs em sua infraestrutura, aplicativos e aplicativos.
A NordVPN chegou às manchetes em outubro passado, após a empresa ter revelado ter sofrido uma grande violação de dados em março de 2018, embora tenha sido capaz de limitar os danos e os clientes afetados.
Saiba mais sobre este e outros detalhes em nosso setor de segurança digital.