Vpn-provider NordVPN heeft een kwetsbaarheid in de eigen website verholpen waardoor gegevens van klanten hadden kunnen lekken. Alleen het versturen van een HTTP POST request zonder authenticatie naar join.nordvpn.com was voldoende om van gebruikers e-mailadressen, betaalmethode, valuta, bedrag en aangeschafte producten te achterhalen.
Het ging om een Insecure Direct Object Reference (IDOR) kwetsbaarheid. Op een schaal van 1 tot en met 10 wat betreft de impact kreeg die een score van tussen de 7 en 8,9 toegekend. De onderzoeker die het beveiligingslek ontdekte meldde dit op 4 december vorig jaar bij het beloningsplatform HackerOne. Twee dagen later rolde NordVPN een update uit en beloonde de onderzoeker met 1000 dollar voor zijn bugmelding.
Veel onderzoekers willen ook de details van hun ontdekking openbaar maken. Op 13 januari vroeg de onderzoeker aan NordVPN of hij details over het beveiligingslek mocht publiceren. Afgelopen donderdag werd de bugmelding eindelijk openbaar gemaakt. Een woordvoerder laat tegenover The Register weten dat het hier om een geïsoleerd geval gaat dat alleen een handvol gebruikers had kunnen raken, vanwege de rate-limiting die was geïmplementeerd. "In theorie waren alleen e-mailadressen voor een derde partij zichtbaar geweest", aldus de woordvoerder.
Rond dezelfde tijd dat het IDOR-lek werd gemeld, rapporteerde een andere onderzoeker dat NordVPN geen rate limiting bij het opvragen van wachtwoorden toepaste. Dit probleem verhielp NordVPN op 11 december.
Deze posting is gelocked. Reageren is niet meer mogelijk.