NordVPN tem grande falha de segurança detectada em sistema de pagamento

Por Felipe Ribeiro | 09 de Março de 2020 às 19h40
NordVPN

A NordVPN, uma das principais empresas de VPN do mundo, teve uma falha de segurança exposta por pesquisadores. Segundo profissionais da empresa de segurança HackerOne, a vulnerabilidade pode ter exposto informações de pagamento de clientes em todo o mundo. Além disso, segundo a HackerOne, hackers podem ter tido acesso a informações de contas de usuários, incluindo endereços de e-mail e histórico de compras

De acordo com o portal The Register, que recebeu uma denúncia de um usuário do NordVPN, qualquer pessoa que fizesse uma solicitação HTTP POST para entrar no join.nordvpn.com sem autenticação seria capaz de acessar os endereços de e-mail dos usuários, forma de pagamento e URL, moeda, valor pago e, até mesmo, quais produtos específicos eles compraram.

A falha corrigida foi tornada pública no início de fevereiro na plataforma de recompensas de bugs do HackerOne, com a empresa dizendo que havia entrado em contato com a NordVPN sobre o problema. Em comunicado, a NordVPN disse que este era "um caso isolado" que potencialmente poderia ter afetado apenas um "alguns usuários". A empresa, porém, não confirmou se havia informado aos clientes sobre a falha, mas disse que apreciava o trabalho da comunidade HackerOne.

Caso parece ter sido solucionado/ Imagem: Captura de Tela/ Felipe Ribeiro

"Tais relatórios são uma das razões pelas quais lançamos o programa de recompensas por bugs. Estamos extremamente satisfeitos com seus resultados e incentivamos ainda mais pesquisadores a analisar nosso produto. Este é um caso isolado que potencialmente afetou apenas alguns usuários, devido à limitação de taxa implementada. Teoricamente, apenas endereços de e-mail poderiam ser vistos por um invasor", disse a porta-voz da empresa, Jody Myers, em comunicado enviado ao The Register.

A empresa é a única grande organização VPN conhecida a se alistar no programa HackerOne, que paga programadores e invasores por encontrar bugs em sua infraestrutura, aplicativos e aplicativos.

A NordVPN chegou às manchetes em outubro passado, após a empresa ter revelado ter sofrido uma grande violação de dados em março de 2018, embora tenha sido capaz de limitar os danos e os clientes afetados.

Para acessar o relatório completo da HackerOne, clique aqui.

Fonte: TechRadar

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.