A kiberbiztonság nagyon fontos része minden multinacionális vállalatnak. Vagy ez az elmélet. Azért mondjuk ezt, mert egy biztonsági kutatónak sikerült belépni a világ legnagyobb vállalatainak rendszerébe beleértve az Apple-t, a Microsoftot vagy a PayPal-t. Ez kétségtelenül kemény csapás, amelyet a szoftveren keresztül hajtottak végre, amelyet a cégek kétségtelenül nem felejtenek el, és megpróbálják majd javítani. Ebben a cikkben minden részletet elmondunk róla.
Az Apple és más cégek a feltörés veszélyében
Alex Birsan biztonsági kutató nyilvánosságra hozta ezt a biztonsági problémát a Mediumon írt blogján keresztül. Ebben kijelenti, hogy kihasználta bizonyos vállalatok ökoszisztémáinak nyílt forráskódú szoftverében található sebezhetőséget, mint például az A. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla és Uber. Ezzel a támadással a kutatónak sikerült rosszindulatú kódot juttatnia az ökoszisztémába. Ez azt eredményezte, hogy a célzott áldozatok rosszindulatú programcsomagot kaptak anélkül, hogy szociális manipulációra lett volna szükség. Más szóval, nem volt szükség linket elhelyezni egy adathalász e-mailben, hogy megvehessék a lábukat az eszközeiken. A rosszindulatú programok egyszerű bevezetése a mindenki számára elérhető nyílt forráskódú részbe meglehetősen jelentős sebezhetőséget mutatott.
Ezzel a támadással még a szoftverellátási láncokat is elérte. Mivel meg tudta győződni arról, hogy amikor egy vállalat nyílt forráskódú részébe különböző projekteket vezetett be, az automatikusan, mindenféle ellenőrzés nélkül kivonja a nyilvános függőségi csomagokat. Ezáltal nagyon könnyű megtámadni a fontos cégek zsigereit, ha rendelkezik a tudással. Mint mondjuk, az általunk korábban is kommentált blogjában részletesen ismerteti az alkalmazott módszertant. De ezekkel az eljárásokkal láthatja, milyen könnyen találhat biztonsági hibát, ha keres. Ez azt jelenti, hogy a biztonság nem létezik 100%-ban, és a cégek nyilvánvalóan díjazzák.
A Microsoft és az Apple jutalom ezért a biztonsági hibáért
Logikus, hogy ez a biztonsági kutató nem hozta nyilvánosságra a hibát, amikor felfedezte azt. Éppen ezért, ha megpróbálod megismételni, nagyon bonyolult lesz. Ezek a biztonsági kutatók annyit tesznek, hogy kommunikálnak a megtámadott cégekkel, hogy ésszerű időn belül jelentsék a hibát, mielőtt nyilvánosságra hozzák, hogy az javítható legyen, ezzel bezárva a biztonsági rést. De ezt az információt nem kínálják ingyen, de ezek a cégek azt tervezik, hogy megkapják ezeket a biztonsági jelentéseket.
Ezzel az információval a kutató sok pénzt kereshet. Konkrétan a Microsoft a programján keresztül összesen felajánlott neki 40 000 dollár. Valami hasonló történik az Apple-lel az Apple Security Bounty révén, amelyen keresztül a vállalat megígérte, hogy megjutalmazza Önt. Összességében az általunk korábban véleményezett cégek közül a kutató többletbevételről számolt be 130 000 dollár a saját munkáját végzi.
