Vi arbetar hårt med att leverera en hållbar och säker tjänst, och vi har idag glädjen att meddela att OVPN har blivit ännu säkrare. Detta kunde göras med hjälp av .Chloe från Flashback.
Vad har ändrats?
Vår hemsida har blivit säkrare eftersom vi har åtgärdat ett antal brister. Följande brister är nu åtgärdade, och går inte längre att exploatera:
- Lagt till CSRF för alla formulär på hemsidan
- Tagit bort möjligheten att kunna begå XSS-attacker i vårt kontaktformulär
- Tvingar att alla kakor endast kan transporteras via SSL
- Lagt till rate limiting på inloggningsidan för att motverka brute-force attacker
Chloe rapporterade problemen till oss den 5:e september 2014, och vi hade åtgärdat dem inom några timmar.
Har detta missbrukats av någon?
Nej, ingen har utnyttjat dessa buggar. Alla våra användare är, och har varit fullständigt säkra.
Responsible disclosure
Responsible disclosure är när en person upptäcker en säkerhetsbrist, och istället för att utnyttja säkerhetsbristen så kontaktar personen direkt företaget.
Personen berättar först om sina fynd till utomstående efter att företaget har kunnat åtgärda säkerhetsbristen. På detta vis får personer som vill åstadkomma skada inte möjlighet att kunna utnyttja bristen.
Responsible disclosures ökar säkerheten för alla inblandade parter, och hjälper företag att leverera en bättre tjänst till sina kunder.
OVPN anser att alla ansvarsfulla organisationer och företag ska uppmuntra responsible disclosures. Google, Facebook, Microsoft och många andra företag är stora förespråkare för responsible disclosures, och har kunnat åtgärda många säkerhetsbrister tack vare det.
Som tack för att man berättar om en säkerhetsbrist så får man en belöning och ett officiellt tack av OVPN. Belöning får man i form att man får en gratis månad på OVPN för varje säkerhetsbrist som man hittar, samt en riktigt snygg t-shirt.
Därefter kommer även ett inlägg att publiceras på vår blogg med en detaljerad redovisning och ett stort tack.
Vårt tack till Chloe
.Chloe fick fem månader VPN av oss för att ha hittat och rapporterat de ovanämnda bristerna. Vi är otroligt tacksamma och glada över Chloes fynd, och vi hoppas att Chloe är nöjd med kompensationen.
Chloe är otroligt kunnig inom allt som har med säkerhet att göra, och har skrivit flertalet detaljerade guider om IT-säkerhet.
Sammanfattningsvis
Vi är väldigt glada och nöjda att vi har lyckats förbättra säkerheten på OVPN ytterligare.
Ingen har utnyttjat säkerhetsbristerna och ingen information om våra kunder har läckts.
Om du hittar en säkerhetsbrist i OVPN får du en månad gratis VPN, samtidigt som du får en riktigt snygg t-shirt.
Vi vill återigen tacka .Chloe för att ha uppmärksammat oss om säkerhetsbristerna, och att responsible disclosure användes.