Securitatea cibernetică este o parte foarte importantă a oricărei companii multinaționale. Sau aceasta este teoria. Spunem asta pentru că un cercetător în securitate a reușit intră în sistemele celor mai mari companii care există în lume inclusiv Apple, Microsoft sau PayPal. Aceasta este, fără îndoială, o lovitură grea care a fost dusă prin intermediul software-ului pe care companiile, fără îndoială, nu îl vor uita și vor încerca să îl corecteze. În acest articol vă spunem toate detaliile despre el.
Apple și alte companii sunt expuse riscului de hacking
Cercetătorul de securitate Alex Birsan a făcut publică această problemă de securitate prin blogul său pe Medium. În aceasta afirmă că a profitat de o vulnerabilitate în software-ul open source al ecosistemelor anumitor companii precum A. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla și Uber. Prin acest atac, cercetătorul a reușit să introducă cod rău intenționat în ecosistem. Acest lucru a dus la ca victimele vizate să primească un pachet de malware fără a fi nevoie de inginerie socială. Cu alte cuvinte, nu a fost necesar să se pună un link într-un e-mail de phishing pentru a putea avea loc pe dispozitivele lor. Simpla introducere a programelor malware în partea open source, accesibilă tuturor, a demonstrat o vulnerabilitate destul de semnificativă.
Prin acest atac a reușit să ajungă chiar și la lanțurile de aprovizionare cu software. Deoarece a putut să verifice că la introducerea diferitelor proiecte în partea open source a unei companii, aceasta a extras automat pachete de dependențe publice fără niciun tip de control. Acest lucru face cu adevărat ușor, atâta timp cât ai cunoștințele, să ataci măruntaiele companiilor importante. După cum spunem, metodologia folosită este explicată în detaliu în blogul său pe care l-am comentat anterior. Dar cu aceste proceduri puteți vedea cât de ușor poate fi să găsiți o eroare de securitate dacă căutați. Asta înseamnă că securitatea nu există 100% și, evident, companiile o recompensează.
Microsoft și Apple recompensează pentru acest defect de securitate
În mod logic, acest cercetător în securitate nu a făcut publică eroarea în momentul descoperirii acesteia. De aceea, dacă vei căuta să o reproduci, va fi cu adevărat complicat. Ceea ce fac acești cercetători în securitate este să comunice cu companiile atacate pentru a raporta bug-ul într-un timp rezonabil înainte de a-l face public, astfel încât să poată fi remediat, închizând gaura de securitate. Dar aceste informații nu sunt oferite gratuit, dar aceste companii au planuri să primească aceste rapoarte de securitate.
Cu aceste informații cercetătorul poate câștiga mulți bani. Mai exact, Microsoft, prin programul său, i-a oferit un total de 40.000 USD. Ceva asemanator se intampla si cu Apple prin Apple Security Bounty prin care compania a promis sa te recompenseze. În total, dintre toate companiile pe care le-am comentat anterior, cercetătorul a raportat un venit suplimentar de 130.000 USD făcându-ți propria treabă.
