Kibernetska varnost je zelo pomemben del vsakega multinacionalnega podjetja. Ali pa je to teorija. To pravimo, ker je varnostnemu raziskovalcu uspelo vstopajo v sisteme največjih podjetij, ki obstajajo na svetu vključno z Apple, Microsoft ali PayPal. To je nedvomno močan udarec, ki je bil izveden s programsko opremo, ki je podjetja nedvomno ne bodo pozabila in jo bodo poskušala popraviti. V tem članku vam povemo vse podrobnosti o tem.
Apple in druga podjetja, ki jim grozi vdiranje
Varnostni raziskovalec Alex Birsan je to varnostno vprašanje objavil v svojem blogu na Medium. V tem navaja, da je izkoristil ranljivost odprtokodne programske opreme ekosistemov nekaterih podjetij, kot je A. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla y Uber. S tem napadom je raziskovalcu uspelo vnesti zlonamerno kodo v ekosistem. To je povzročilo, da so ciljne žrtve prejele paket zlonamerne programske opreme brez potrebe po socialnem inženiringu. Z drugimi besedami, ni bilo treba postaviti povezave v e-poštno sporočilo z lažnim predstavljanjem, da bi se lahko uveljavili na njihovih napravah. Preprosta uvedba zlonamerne programske opreme v odprtokodni del, dostopen vsem, je pokazala precej pomembno ranljivost.
S tem napadom je lahko dosegel celo dobavne verige programske opreme. Ker je lahko preveril, da je pri uvajanju različnih projektov v odprtokodni del podjetja samodejno ekstrahiralo javne pakete odvisnosti brez kakršnega koli nadzora. Tako je zelo enostavno, če imate znanje, napad na drobovje pomembnih podjetij. Kot pravimo, je uporabljena metodologija podrobno razložena v njegovem blogu, ki smo ga že komentirali. Toda s temi postopki lahko vidite, kako enostavno je najti varnostno napako, če iščete. To pomeni, da varnost ne obstaja 100% in očitno jo podjetja nagrajujejo.
Microsoft in Apple nagradita za to varnostno napako
Logično je, da ta varnostni raziskovalec napake ni javno objavil, ko jo je odkril. Zato, če ga poskušate ponoviti, bo res zapleteno. Ti varnostni raziskovalci komunicirajo z napadenimi podjetji, da v razumnem času poročajo o napaki, preden jo objavijo, da jo je mogoče popraviti in zapreti varnostno luknjo. Vendar te informacije niso na voljo brezplačno, vendar imajo ta podjetja načrte za prejemanje teh varnostnih poročil.
S temi informacijami lahko raziskovalec zasluži veliko denarja. Natančneje, Microsoft mu je prek svojega programa ponudil skupno 40.000 $. Nekaj podobnega se zgodi z Appleom prek Apple Security Bounty, s katerim vas je podjetje obljubilo, da vas bo nagradilo. Skupno je raziskovalec od vseh podjetij, ki smo jih že komentirali, prijavil dodaten dohodek 130.000 $ opravljati svoje delo.
