Cyberbezpieczeństwo jest bardzo ważną częścią każdej międzynarodowej firmy. Albo to jest teoria. Mówimy to, ponieważ badaczowi bezpieczeństwa udało się wejść do systemów największych firm istniejących na świecie w tym Apple, Microsoft czy PayPal. Jest to bez wątpienia ciężki cios, jaki został zadany przez oprogramowanie, którego firmy z pewnością nie zapomną i będą próbowały załatać. W tym artykule przedstawimy wszystkie szczegóły na ten temat.
Apple i inne firmy zagrożone włamaniem
Badacz bezpieczeństwa Alex Birsan upublicznił ten problem bezpieczeństwa na swoim blogu na Medium. Twierdzi w tym, że wykorzystał lukę w oprogramowaniu open source ekosystemów niektórych firm, takich jak A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla i Uber. Dzięki temu atakowi badacz był w stanie wprowadzić do ekosystemu złośliwy kod. Doprowadziło to do tego, że ukierunkowane ofiary otrzymywały pakiet złośliwego oprogramowania bez potrzeby stosowania socjotechniki. Innymi słowy, nie było konieczne umieszczanie odsyłacza w wiadomości phishingowej, aby móc zdobyć przyczółek na ich urządzeniach. Samo wprowadzenie złośliwego oprogramowania do części open source, dostępnej dla wszystkich, wykazało dość istotną lukę.
Dzięki temu atakowi był w stanie dotrzeć nawet do łańcuchów dostaw oprogramowania. Ponieważ był w stanie zweryfikować, że wprowadzając różne projekty w części firmy o otwartym kodzie źródłowym, automatycznie wyodrębniał publiczne pakiety zależności bez jakiejkolwiek kontroli. Dzięki temu bardzo łatwo, o ile masz wiedzę, zaatakować wnętrzności ważnych firm. Jak mówimy, zastosowana metodologia została szczegółowo wyjaśniona na jego blogu, który wcześniej komentowaliśmy. Ale dzięki tym procedurom możesz zobaczyć, jak łatwo można znaleźć błąd bezpieczeństwa podczas wyszukiwania. Oznacza to, że bezpieczeństwo nie istnieje w 100% i oczywiście firmy je nagradzają.
Nagroda Microsoft i Apple za tę lukę w zabezpieczeniach
Logicznie rzecz biorąc, ten badacz bezpieczeństwa nie upublicznił błędu w momencie jego odkrycia. Dlatego jeśli spróbujesz to powielić, będzie to naprawdę skomplikowane. To, co robią ci analitycy bezpieczeństwa, to komunikowanie się z zaatakowanymi firmami, aby zgłosić błąd w rozsądnym czasie przed upublicznieniem go, aby można było go załatać, zamykając lukę w zabezpieczeniach. Ale te informacje nie są oferowane za darmo, ale firmy te planują otrzymywać takie raporty dotyczące bezpieczeństwa.
Dzięki tym informacjom badacz może zarobić dużo pieniędzy. W szczególności Microsoft, poprzez swój program, zaoferował mu łącznie 40 000 dolarów. Coś podobnego dzieje się z Apple poprzez Apple Security Bounty, dzięki któremu firma obiecała Cię nagrodzić. W sumie ze wszystkich firm, które wcześniej komentowaliśmy, badacz odnotował dodatkowy dochód w wysokości 130 000 USD wykonywanie własnej pracy.
