Киберсигурността е много важна част от всяка мултинационална компания. Или това е теорията. Казваме това, защото изследовател по сигурността е успял влизат в системите на най-големите компании, които съществуват в света включително Apple, Microsoft или PayPal. Това несъмнено е тежък удар, нанесен чрез софтуера, който компаниите несъмнено няма да забравят и ще се опитат да поправят. В тази статия ще ви разкажем всички подробности за това.
Apple и други компании са изложени на риск от хакване
Изследователят по сигурността Алекс Бирсан оповести този проблем със сигурността публично чрез своя блог в Medium. В това той заявява, че се е възползвал от уязвимост в софтуера с отворен код на екосистемите на определени компании като A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla и Uber. Чрез тази атака изследователят успя да въведе зловреден код в екосистемата. Това доведе до целенасочени жертви, които получават пакет от зловреден софтуер без необходимост от социално инженерство. С други думи, не е било необходимо да се поставя връзка в фишинг имейл, за да може да се закрепи на техните устройства. Простото въвеждане на зловреден софтуер в частта с отворен код, достъпна за всички, показа доста значителна уязвимост.
Чрез тази атака той успя да достигне дори до вериги за доставка на софтуер. Тъй като той успя да провери, че при въвеждането на различни проекти в частта с отворен код на една компания, тя автоматично извлича публични пакети на зависимости без какъвто и да е контрол. Това прави наистина лесно, стига да имате знанията, да атакувате вътрешностите на важни компании. Както казваме, използваната методология е обяснена подробно в неговия блог, който вече коментирахме. Но с тези процедури можете да видите колко лесно може да бъде да намерите грешка в сигурността, ако търсите. Това означава, че сигурността не съществува 100% и очевидно компаниите я възнаграждават.
Microsoft и Apple награждават за този пропуск в сигурността
Логично, този изследовател по сигурността не е оповестил грешката публично в момента на откриването й. Ето защо, ако се стремите да го повторите, ще бъде наистина сложно. Това, което правят тези изследователи по сигурността, е да комуникират с атакуваните компании, за да докладват за грешката с разумен период от време, преди да я направят публична, така че да може да бъде закърпена, затваряйки дупката в сигурността. Но тази информация не се предлага безплатно, но тези компании имат планове да получат тези доклади за сигурност.
С тази информация изследователят може да спечели много пари. По-конкретно, Microsoft чрез своята програма му предложи общо 40 000 долара. Нещо подобно се случва с Apple чрез Apple Security Bounty, чрез която компанията е обещала да ви възнагради. Като цяло от всички компании, които сме коментирали по-рано, изследователят е отчел допълнителен доход 130 000 долара вършете своя собствена работа.
