Про повідомляє видання ZDNet.
Програма “Bug Bounty” була запущена на платформі HackerOne з метою оновлення системи безпеки провайдера.
Так, у жовтні 2019 року з’явилася інформація про проблеми з безпекою відразу у двох VPN-провайдерів – NordVPN і TorGuard. Представники NordVPN тоді запевнили, що вина за інцидент лежала на одному з центрів обробки даних у Фінляндії, де провайдер орендував сервери. Зазначений центр був доступний без авторизації, і до сервера NordVPN отримав доступ зловмисник “використовуючи систему віддаленого управління”.
У NordVPN обіцяли запустити програму “Bug Bounty”, укласти угоду з фірмою VerSprite, що займається кібербезпекою, а також провести аудит інфраструктури.
Тепер же було офіційно оголошено про старт програми “Bug Bounty”. Вона буде поширюватися на сайти NordVPN, офіційні розширення для Chrome і Firefox, VPN-сервери, десктопні та мобільні додатки для всіх платформ.
Виплати за виявлені вразливості складуть від 100 до 5000 доларів. При цьому винагороди можуть бути та вищими (наприклад, за серйозні вразливості).
У відділі комунікацій NordVPN наголосили, що прагнуть “зробити інфраструктуру і дані клієнтів максимально безпечними”.
Провайдер NordVPN був створений у 2012 році і базується в Панамі, оскільки там не діють закони про обов’язкове зберігання даних.
ДОВІДКА. Bug Bounty – програма, пропонована багатьма веб-сайтами та розробниками програмного забезпечення, за допомогою якої люди можуть отримати визнання і винагороду за вивчення помилок, особливо тих, які стосуються експлойтів і вразливостей. Ці програми дозволять розробникам розібратися та усунути помилки, перш ніж широка громадськість дізнається про них, запобігаючи випадкам масових зловживань. Такі програми були реалізовані на Facebook, Yahoo!, Google, Reddit, Apple і Microsoft.
HackerOne – це компанія, що викриває вразливості. Базується в Сан-Франциско, штат Каліфорнія. Компанія створила bug bounty платформу, яка поєднує бізнес і дослідників безпеки.
- Раніше дослідники виявили вразливість в операційних системах MacOS, iOS і Android, що дозволяє зловмисникам втручатися в роботу VPN-з’єднань на пристроях.
- У месенджері WhatsApp знайшли вразливість, яка дозволяла зловмисникам зламати пристрої користувачів і викрадати їхні дані.