NordVPN堵塞了公司的支付平台中的一个漏洞,该漏洞泄露了敏感的客户数据。
据The Register报道,该漏洞已于2月份在HackerOne上发布shadowrocket官网登录,这是一个漏洞赏金平台,研究人员可以在其中秘密向供应商披露安全问题,以换取信贷和财务奖励。
研究人员以名称“ dakitu”公开该漏洞,其严重等级得分为7-8.9,“不安全直接对象引用(IDOR)”漏洞可以通过向发送HTTP POST请求来触发。
没有任何形式的身份验证,发送到网站的API的请求将返回用户信息字符串。测试帐户用于pingback信息,包括电子邮件地址,付款商家记录,URL,购买的产品和付款金额。
“我们已与我们的技术团队确认,只有在评估未利用任何数据后才在H1上披露此问题。该漏洞仅对三个小型支付提供商隔离,并且只能在有限的时间内加以利用。第三方要求自动生成ID始终受到速率限制,在存在漏洞的期间内,我们的检测系统未发现任何可疑行为。
我们对错误赏金计划感到非常高兴。因此,我们能够在实际利用问题之前解决问题。”
该漏洞在12月进行了修补,而dakitu则获得了1,000美元的漏洞赏金。
同时,NordVPN平台还解决了单独的漏洞赏金问题。研究人员th3pr0xyb0y在NordVPN遗忘的密码页面上披露了一个速率限制问题,其中对密码请求没有限制。
去年,VPN服务发现其数据中心之一发生数据泄露,这是由属于第三方数据中心提供商的远程管理系统造成的。
NordVPN在网络攻击者获得访问权之前不知道它的存在,但是鉴于问题的严重性-由于VPN服务依赖用户信任和数据保护才能成功-该公司立即终止了其数据中心租赁合同,并将其业务转移到其他地方。
一、保持合理的硬件刷新率,以保证公司的基础架构(从PC到电话再到服务器)保持相当新的状态。
二、保持现代操作系统,使用评级较高的端点安全解决方案,定期下载并安装所有修补程序/更新,操作系统shadowrocket发生了ssl错误、硬件和关键业务软件的补丁对于安全性也至关重要。
三、遵守良好的密码更换习惯,并对其进行现代化管理,这也是有效防止数据和隐私泄露的方法。
四、使用两因素(或更多)身份验证(或称为“2FA”),这是针对网络安全保护的明智之举,可以有效减少数据和隐私的违规行为。
五、备份是针对勒索软件的必要措施。必须坚持的一项重要工作是“无限制副本”,即每次更改文件时,服务都会保存文件的副本,而不仅仅是最后一个副本,这有利于公司在遭受勒索软件攻击时用于确定感染发生的确切时间。
SSL证书可为网站进行身份认证、对网站数据传输进行加密,防止用户误进钓鱼网站shadowrocked小火箭怎么下载、部署SSL证书后严谨的加密系统有效防止第三方窃取、篡改、流量劫持等行为,保证用户数据安全。
