VPN Servisindeki Kusur Bilgilerimizi Açıklamış Olabilir
En popüler VPN -sanal özel ağ- hizmetlerinden biri olan NordVPN, müşterilerin e-posta adreslerini ve diğer bilgilerini açıkladığı söylenen bir güvenlik açığını giderdi.
Güvenlik açığı NordVPN tarafından kullanılan üç ödeme platformuna -Momo, Gocardless ve Coinpayments- bağlandı . Konuyla ilgili ilk rapor veren The Register’a göre, kusur, ‘dakitu’ adıyla giden bir araştırmacı tarafından ortaya çıkarıldı ve popüler hata ödül platformu HackerOne aracılığıyla açıklandı.
Araştırmacı, join.nordvpn.com adresine kimlik doğrulaması yapmadan bir HTTP POST isteği gönderen herkesin kullanıcıların e-posta adreslerini, ödeme yöntemini ve URL’sini, satın aldıkları ürünü, bunun için ödedikleri tutarı ve hatta işlemde kullanılan para birimini görebildiğini buldu.
NordVPN’in bugün yaptığı açıklamada, bir avuç rastgele e-posta adresinin ve başka hiçbir müşteri verisinin risk altında olabileceğini söylediğinden hatanın ciddiyeti konusunda bazı belirsizlikler var. Bununla birlikte, güvenlik açığı iki gün sonra NordVPN tarafından düzeltilmeden önce 4 Aralık 2019’da ortaya çıktı. VPN kusuru ve yaması Şubat ayında web sitesinde halka duyuruldu ve “dakitu” çabalarından dolayı 1000 ABD doları kazandı.
NordVPN, müşterilerini bu güvenlik açığı konusunda bilgilendirip bilgilendirmediğini söylemedi. Her halükarda, şirket sonuçtan memnun kaldı ve hata ödül programını başlattıklarının nedenlerinden biri olduğunu ve gelecekte daha fazla fayda sağlamayı umduklarını belirterek: “Sonuçlarından son derece memnunuz ve hatta ürünümüzü analiz etmek için daha fazla araştırmacı teşvik ediyoruz. ”
Geçen yılın Ekim ayında NordVPN, 2018 yılının Mart ayından bu yana devam edebilecek bir güvenlik ihlaline ulaşmak için çok uzun sürdüğü için eleştirildi. Şirket, altyapı denetiminin büyüklüğü ve hizmetini barındırmak için çalışan sunucuların sayısı nedeniyle uzun açıklama süresinin gerekli olduğunu savundu.
