ثغرة في إحدى خدمات VPN الشائعة الإستخدام قد تكون سبب في كشف بيانات العملاء
بقلم – عامر عويضه (*)
قامت NordVPN، إحدى خدمات الشبكة الخاصة الافتراضية الأكثر شيوعًا (VPN)، بإصلاح ثغرة أمنية يُقال أنها كشفت عن عناوين البريد الإلكتروني للعملاء ومعلومات أخرى.
تم ربط الثغرة الأمنية بثلاث منصات دفع تستخدمها NordVPN – Momo و Gocardless و Coinpayments. وفقًا لـتقرير The Register، أول من أبلغ عن هذه المشكلة، تم الكشف عن الخلل من قبل باحث ملقب باسم “dakitu” وتم الكشف عنه عبر منصة مكافأة الثغرات الشائعة HackerOne.
وجد الباحث أن أي شخص أرسل طلب HTTP POST بدون مصادقة للانضمام إلى nordvpn.com يمكن أن يطلع على عناوين البريد الإلكتروني للمستخدمين وطريقة الدفع وعنوان URL والمنتج الذي اشتروه والمبلغ الذي دفعوه وحتى العملة المستخدمة في المعاملة .
في الواقع، هناك بعض الغموض فيما يتعلق بخطورة الخطأ، كما قال NordVPN في بيانه أن حفنة من عناوين البريد الإلكتروني العشوائية فقط – وليس بيانات العملاء الأخرى – قد تكون في خطر.
ومع ذلك، تم الكشف عن الثغرة الأمنية في 4 ديسمبر 2019 ، قبل أن يتم إصلاحها بواسطة NordVPN بعد ذلك بيومين. وتم الإعلان عن الخلل والتصحيح على موقع الويب في فبراير، وحصل “dakitu” على مكافأة قدرها 1000 دولار أمريكي على جهوده.
لم تذكر NordVPN ما إذا كانت قد أبلغت عملائها بشأن الثغرة أم لا. وعلى كل الأحوال، كانت الشركة راضية عن النتيجة، مشيرة إلى أن هذا هو أحد الأسباب التي دعت إلى إطلاق برنامج مكافآت الأخطاءو الثغرات الخاصة بهم وأنهم يأملون في جني المزيد من الفوائد في المستقبل: “نحن سعداء للغاية بنتائجه ونشجع حتى المزيد من الباحثين لتحليل منتجاتنا “.
وفي أكتوبر من العام الماضي، تعرضت شركة NordVPN لانتقادات لأنها استغرقت وقتًا طويلاً في الاعتراف بخرق أمني ربما يكون قد استمر من مارس 2018. وقالت الشركة إن فترة الإفصاح الطويلة كانت ضرورية بسبب حجم تدقيق البنية التحتية وعدد من الخوادم التي تديرها الشركة لاستضافة خدمتها.
ــــــــــ
(*) الكاتب في أمن المعلومات لدى شركة “إسيت” ESET