Kybernetická bezpečnosť je veľmi dôležitou súčasťou každej nadnárodnej spoločnosti. Alebo toto je teória. Hovoríme to preto, že sa to bezpečnostnému výskumníkovi podarilo vstúpiť do systémov najväčších spoločností, ktoré na svete existujú vrátane Apple, Microsoft alebo PayPal. Toto je nepochybne tvrdý úder, ktorý bol vykonaný prostredníctvom softvéru, na ktorý spoločnosti nepochybne nezabudnú a pokúsia sa ho opraviť. V tomto článku vám o ňom povieme všetky podrobnosti.
Apple a ďalšie spoločnosti, ktorým hrozí hacking
Bezpečnostný výskumník Alex Birsan zverejnil tento bezpečnostný problém prostredníctvom svojho blogu na Medium. V tomto uvádza, že využil zraniteľnosť v softvéri s otvoreným zdrojovým kódom v ekosystémoch určitých spoločností, ako je A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla a Uber. Prostredníctvom tohto útoku sa výskumníkovi podarilo zaviesť škodlivý kód do ekosystému. Výsledkom bolo, že cielené obete dostali balík škodlivého softvéru bez potreby sociálneho inžinierstva. Inými slovami, nebolo potrebné vkladať odkaz do phishingového e-mailu, aby bolo možné získať oporu na ich zariadeniach. Jednoduché zavedenie malvéru do open source časti, dostupnej pre každého, ukázalo pomerne významnú zraniteľnosť.
Prostredníctvom tohto útoku sa mu podarilo osloviť aj dodávateľské reťazce softvéru. Keďže sa mu podarilo overiť, že pri zavádzaní rôznych projektov v open source časti spoločnosti automaticky extrahovala verejné závislé balíčky bez akéhokoľvek typu kontroly. Vďaka tomu je naozaj jednoduché, pokiaľ máte znalosti, zaútočiť na útroby dôležitých spoločností. Ako hovoríme, použitá metodika je podrobne vysvetlená v jeho blogu, ktorý sme už predtým komentovali. Ale pomocou týchto postupov môžete vidieť, aké ľahké môže byť nájsť bezpečnostnú chybu, ak budete hľadať. To znamená, že bezpečnosť neexistuje na 100% a spoločnosti to samozrejme odmeňujú.
Microsoft a Apple odmeňujú za túto bezpečnostnú chybu
Logicky, tento bezpečnostný výskumník nezverejnil chybu v čase, keď ju objavil. To je dôvod, prečo ak sa to pokúsite replikovať, bude to skutočne komplikované. Títo bezpečnostní výskumníci komunikujú s napadnutými spoločnosťami, aby nahlásili chybu v primeranom čase pred jej zverejnením, aby mohla byť opravená, čím sa uzatvorí bezpečnostná diera. Tieto informácie sa však neponúkajú zadarmo, no tieto spoločnosti plánujú dostávať tieto bezpečnostné správy.
S týmito informáciami môže výskumník zarobiť veľa peňazí. Konkrétne Microsoft mu prostredníctvom svojho programu ponúkol celkom 40 000 dolárov. Niečo podobné sa deje s Apple prostredníctvom Apple Security Bounty, prostredníctvom ktorého spoločnosť sľúbila, že vás odmení. Celkovo zo všetkých spoločností, ktoré sme predtým komentovali, výskumník vykázal dodatočný príjem 130 000 dolárov robiť svoju vlastnú prácu.
