L’un des services VPN les plus populaires disponibles aujourd’hui a peut-être révélé les informations de paiement des clients en raison d’une faille de sécurité majeure. Les chercheurs en sécurité ont découvert une vulnérabilité dans la plateforme de paiement utilisée par NordVPN, qui compte des millions d'utilisateurs dans le monde. La faille aurait pu permettre aux pirates informatiques d'accéder aux informations du compte utilisateur, notamment aux adresses e-mail et à l'historique des achats, selon l'équipe de la société de sécurité HackerOne.
Sécurité NordVPN
Selon The Register, qui a signalé le bug par un utilisateur en question, toute personne effectuant une demande HTTP POST pour rejoindre .nordvpn.com sans aucune authentification pourra accéder aux adresses e-mail des utilisateurs, au mode de paiement et à l'URL, le la devise, le montant payé et même les produits spécifiques qu'ils avaient achetés. La faille corrigée a été rendue publique début février sur la plateforme HackerOne bugbeat, et la société a déclaré avoir contacté NordVPN à ce sujet. Dans un communiqué, NordVPN a déclaré qu'il s'agissait d'un "cas isolé" qui n'aurait pu concerner qu'une "poignée d'utilisateurs". L'entreprise n'a pas confirmé si elle avait informé ses clients de la faille, mais a déclaré apprécier le travail de la communauté HackerOne. "Ces rapports sont l'une des raisons pour lesquelles nous avons lancé le programme de bug bounty", a déclaré la porte-parole de l'entreprise, Jody Myers, à The Register. "Nous sommes extrêmement satisfaits des résultats et encourageons davantage de chercheurs à examiner notre produit. Il s'agit d'un cas isolé qui n'a touché qu'une poignée d'utilisateurs en raison de la limitation de vitesse. Théoriquement, seules les adresses e-mail auraient pu être consultées par un tiers". La société est la seule grande organisation VPN connue à s'être inscrite au programme HackerOne, qui rémunère des testeurs d'intrusion pour détecter les bogues dans son infrastructure, ses applications et ses applications. NordVPN a fait la une des journaux en octobre dernier après que la société a révélé avoir subi une violation majeure de données en mars 2018, même si elle a réussi à limiter les dégâts et les clients impliqués. Via : le registre