Une faille dans un service VPN populaire pourrait avoir exposé les données de clients | WeLiveSecurity

Une faille dans un service VPN populaire pourrait avoir exposé les données de clients

NordVPN se réjouit que son programme de prime aux bogues ait porté fruit et souligne qu'un correctif avait été envoyé dans les deux jours.

NordVPN se réjouit que son programme de prime aux bogues ait porté fruit et souligne qu’un correctif avait été envoyé dans les deux jours.

NordVPN, l’un des services de réseau privé virtuel (VPN) les plus populaires, a corrigé une faille de sécurité qui aurait exposé les adresses électroniques et autres informations des clients.

La faille de sécurité était liée à trois plateformes de paiement utilisées par NordVPN – Momo, Gocardless et Coinpayments. Selon The Register, qui a été le premier à faire un rapport sur la question, la faille a été découverte par un chercheur surnommé « dakitu » et a été révélée par la populaire plateforme de chasse aux bogues HackerOne.

Le chercheur a découvert que toute personne envoyant une demande HTTP POST sans authentification à join.nordvpn.com pouvait voir les adresses e-mail des utilisateurs, la méthode de paiement utilisée et l’URL, le produit acheté, le montant payé ainsi que la devise utilisée pour la transaction.

Néanmoins, la vulnérabilité a été découverte le 4 décembre 2019, avant d’être corrigée par NordVPN deux jours plus tard. La faille et son correctif ont été rendus publics sur le site web en février et « dakitu » a reçu une récompense de 1 000$ US pour ses efforts.

NordVPN n’a pas précisé avoir informé ses clients de la vulnérabilité ou non. En tout cas, l’entreprise était satisfaite du résultat, déclarant que c’est l’une des raisons pour lesquelles elle a lancé son programme de prime sur les bogues et qu’elle espère en tirer plus de bénéfices à l’avenir : « Nous sommes extrêmement satisfaits de ses résultats et encourageons encore plus de chercheurs à analyser notre produit. »

En octobre de l’année dernière, NordVPN a essuyé des critiques pour avoir mis trop de temps à avouer une faille de sécurité qui aurait pu durer jusqu’en mars 2018. L’entreprise a fait valoir que la longue période de divulgation était nécessaire en raison de l’ampleur de son audit d’infrastructure et du nombre de serveurs qu’elle exploite pour héberger son service.

Discussion