in

Une faille de sécurité importante découverte dans une grande entreprise de VPN

Vulnérabilité découverte lors d’une session HackerOne

L’un des services VPN les plus populaires disponibles aujourd’hui peut avoir révélé des informations de paiement client en raison d’une faille de sécurité importante.

Des chercheurs en sécurité ont découvert une vulnérabilité dans la plate-forme de paiement utilisée par NordVPN, qui compte des millions d’utilisateurs dans le monde.

La faille aurait pu permettre aux pirates d’accéder aux informations du compte utilisateur, y compris les adresses e-mail et l’historique des achats, selon l’équipe de la société de sécurité HackerOne.

Sécurité NordVPN
Selon The Register, qui avait la faille signalée par un utilisateur concerné, toute personne faisant une demande HTTP POST pour rejoindre.nordvpn.com sans aucune authentification serait en mesure d’accéder aux adresses e-mail des utilisateurs, au mode de paiement et à l’URL, à la devise, au montant payé et même quels produits spécifiques ils avaient achetés.

La faille corrigée a été rendue publique début février sur la plate-forme de prime aux bogues de HackerOne, la société disant avoir contacté NordVPN à propos du problème.

Dans un communiqué, NordVPN a déclaré qu’il s’agissait « d’un cas isolé » qui n’aurait pu affecter qu’une « poignée d’utilisateurs ».

La société n’a pas confirmé si elle avait informé les clients de la faille, mais a déclaré qu’elle appréciait le travail de la communauté HackerOne.

« De tels rapports sont l’une des raisons pour lesquelles nous avons lancé le programme de primes aux bogues », a déclaré à The Register la porte-parole de l’entreprise, Jody Myers.

«Nous sommes extrêmement satisfaits de ses résultats et encourageons encore plus de chercheurs à analyser notre produit. Il s’agit d’un cas isolé qui n’a pu toucher qu’une poignée d’utilisateurs, en raison de la limitation de débit mise en place. Théoriquement, seules les adresses e-mail auraient pu être vues par une troisième fête. »

La société est la seule grande organisation VPN connue à s’être inscrite au programme HackerOne qui rémunère les testeurs de pénétration pour trouver des bogues dans leur infrastructure, leurs applications et leurs applications.

NordVPN a défrayé la chronique en octobre dernier, après que la société eut révélé avoir subi une importante violation de données en mars 2018, bien qu’elle ait pu limiter les dommages et les clients concernés.

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Oppo annonce «Oppo Watch» et cela semble un peu familier

Lenovo a l’ordinateur portable Ryzen 5 le moins cher du marché