NordVPN Ödeme Sistemindeki Zafiyeti Düzeltti
NordVPN ödeme sistemlerinde önemli bir zafiyet ortaya çıktı. Bu hata, birisine NordVPN kullanıcılarının bilgilerini gösteren bir HTTP Post isteği göndermeyi içeriyordu.
Ödeme sistemlerindeki hata ilk olarak bir bug ödül avcısı tarafından bulundu. Bu güvenlik açığı, HackerOne sitesindeki foobar takma adlı bir araştırmacı tarafından Aralık 2019’da NordVPN’e bildirildi. Araştırmacı, join.nordvpn.com adresine kimlik doğrulama olmadan bir HTTP Post isteği ile, diğer kullanıcılardan gelen verilere herkesin erişebileceğini fark etti. Saldırgan için bu çok kolaydı. Saldırgan sadece kullanıcı Id numarasını değiştirerek diğer bütün kullanıcıların bilgilerine erişebilir.
Bu güvenlik açığı 7 – 8,9 arası bir skorla yüksek öneme sahip bir derece aldı. Bu hata sonrası NordVPN güvenlik açığını düzeltti ve ayrıca araştırmacıya bu hatayı bulduğu için 1000 dolar ödül verdi.
NordVPN, güvenlik açığı ile ilgili kullanıcılarını bilgilendirip bilgilendirmediği hakkında açıklama yapmadı. NordVPN sözcüsü Jody Myers, “Bu tür raporlar hata ödül programını başlatmamıza neden oldu. Sonuçlarından son derece memnunuz ve daha fazla araştırmacıyı ürünümüzü analiz etmeye teşvik ediyoruz.” açıklamasında bulundu.
Kaynak