Maxi 2024

Etički haker „upao“ u interne sisteme više od 35 kompanija

Istraživač koji se bavi bezbednosnim problemima, Aleks Birsan, uspeo da je prodre u interne sisteme velikih tehnoloških kompanija, koristeći propuste u dizajnu softvera koji one upotrebljavaju. Među poznatim kompanijama koje je „uspešno napao“ su Apple, Microsoft, PayPal, Shopify, Netflix, Tesla, Uber…

security

Etika na prvom mestu

Napad je sproveden tako što je upload-ovao malware na open-source repozitorije sistema ,kao što su PyPi ili RubyGems, koji su kasnije automatski distribuirani do internih aplikacija u različitim kompanijama. Žrtve su na taj način automatski primale maliciozne pakete, bez potrebe da se haker bavi socijalnim inženjeringom ili da koristi trojance za pristup sistemima.

Birsan se odlučio da isproba ovu tehniku nakon što je otkrio da aplikacije automatski povlače pakete sa repozitorija, bez potrebe za bilo kakvom akcijom od strane developera ili administratora. Čak se pokazalo da pojedini sistemi prioritizuju pakete sa višim verzijama, i povlače ih sa repozitorija odmah nakon što se tamo pojave. Takav način funkcionisanja omogućio je Birsanu da uspešno „napadne“ veliki broj kompanija.

Pročitajte i:  Četrdeset godina Mac računara

Nakon verifikacije da su njegove komponente uspešno infiltrirane u korporativne mreže, Birsan je podneo izveštaje kompanijama. Neke od kompanija su reagovale veoma korektno i nagradile su ga za otkrivanje bag-a. Najveću nagradu isplatio je Microsoft, u iznosu od 40.000 dolara, a objavio je i white paper koji adresira ovaj problem. Apple ga je takođe nagradio kroz svoj Apple Security Bounty program. Do sada, ovaj etički haker je kroz različite programe, za pronalaženje ovog bug-a zaradio više od 130.000 dolara.

Ako vas interesuju detalji kako su sprovedeni napadi, možete da ih pročitate u Birsanovom tekstu.

Izvor: MacRumors

Facebook komentari:
SBB

Tagovi: , , , , , , , , ,