Kibernetinis saugumas yra labai svarbi bet kurios tarptautinės įmonės dalis. Arba tai yra teorija. Tai sakome, nes saugumo tyrinėtojui tai pavyko patekti į didžiausių pasaulyje egzistuojančių įmonių sistemas įskaitant Apple, Microsoft ar PayPal. Tai neabejotinai sunkus smūgis, atliktas naudojant programinę įrangą, kurios įmonės neabejotinai nepamirš ir bandys pataisyti. Šiame straipsnyje mes jums pasakysime visą informaciją apie tai.
„Apple“ ir kitos įmonės, kurioms gresia įsilaužimas
Saugumo tyrinėtojas Alexas Birsanas paskelbė šią saugumo problemą savo tinklaraštyje „Medium“. Jame jis teigia, kad pasinaudojo tam tikrų įmonių, tokių kaip A, ekosistemų atvirojo kodo programinės įrangos pažeidžiamumu. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla ir Uber. Per šią ataką tyrėjui pavyko į ekosistemą įvesti kenkėjišką kodą. Dėl to tikslinės aukos gavo kenkėjiškų programų paketą be socialinės inžinerijos. Kitaip tariant, nereikėjo dėti nuorodos į sukčiavimo el. laišką, kad jie galėtų įsitvirtinti savo įrenginiuose. Paprasčiausias kenkėjiškų programų įtraukimas į atvirojo kodo dalį, prieinamą visiems, parodė gana didelį pažeidžiamumą.
Per šią ataką jis sugebėjo pasiekti net programinės įrangos tiekimo grandines. Kadangi jis sugebėjo patikrinti, kad įvesdama skirtingus projektus įmonės atvirojo kodo dalyje, ji automatiškai ištraukė viešosios priklausomybės paketus be jokios kontrolės. Dėl to tikrai lengva, jei tik turite žinių, užpulti svarbių įmonių vidurius. Kaip mes sakome, naudojama metodika išsamiai paaiškinta jo tinklaraštyje, kurį anksčiau komentavome. Tačiau atlikę šias procedūras galite pamatyti, kaip lengvai galite rasti saugos klaidą, jei ieškote. Tai reiškia, kad saugumas neegzistuoja 100% ir akivaizdu, kad įmonės už tai atlygina.
„Microsoft“ ir „Apple“ atlygis už šį saugumo trūkumą
Logiška, kad šis saugumo tyrinėtojas klaidos nepaskelbė, kai ją atrado. Štai kodėl, jei bandysite tai pakartoti, tai bus tikrai sudėtinga. Šie saugumo tyrinėtojai bendrauja su užpultomis įmonėmis, kad praneštų apie klaidą per pagrįstą laiką prieš paskelbiant ją viešai, kad būtų galima ją pataisyti ir uždaryti saugumo spragą. Tačiau ši informacija nėra teikiama nemokamai, tačiau šios įmonės planuoja gauti šias saugumo ataskaitas.
Turėdamas šią informaciją tyrėjas gali uždirbti daug pinigų. Tiksliau, „Microsoft“ per savo programą jam pasiūlė iš viso 40 000 USD. Kažkas panašaus atsitinka su „Apple“ per „Apple Security Bounty“, per kurią bendrovė pažadėjo jums atlyginti. Iš viso iš visų anksčiau komentuotų įmonių tyrėjas pranešė apie papildomas pajamas 130 000 USD darydamas savo darbą.
