Petak, 02.12.2022.

Etički haker „upao“ u interne sisteme više od 35 kompanija

Četvrtak, 11.02.2021. | Tehnologija | Autor

Istraživač koji se bavi bezbijednosnim problemima, Aleks Birsan, uspio je da prodre u interne sisteme velikih tehnoloških kompanija, koristeći propuste u dizajnu softvera koji one upotrebljavaju. Među poznatim kompanijama koje je „uspješno napao“ su Apple, Microsoft, PayPal, Shopify, Netflix, Tesla, Uber…

Etika na prvom mjestu

Napad je sproveden tako što je upload-ovao malware na open-source repozitorije sistema ,kao što su PyPi ili RubyGems, koji su kasnije automatski distribuirani do internih aplikacija u različitim kompanijama. Žrtve su na taj način automatski primale maliciozne pakete, bez potrebe da se haker bavi socijalnim inženjeringom ili da koristi trojance za pristup sistemima.

Birsan se odlučio da isproba ovu tehniku nakon što je otkrio da aplikacije automatski povlače pakete sa repozitorija, bez potrebe za bilo kakvom akcijom od strane developera ili administratora. Čak se pokazalo da pojedini sistemi prioritizuju pakete sa višim verzijama, i povlače ih sa repozitorija odmah nakon što se tamo pojave. Takav način funkcionisanja omogućio je Birsanu da uspješno „napadne“ veliki broj kompanija.

Nakon verifikacije da su njegove komponente uspješno infiltrirane u korporativne mreže, Birsan je podnio izveštaje kompanijama. Neke od kompanija su reagovale veoma korektno i nagradile su ga za otkrivanje bag-a. Najveću nagradu isplatio je Microsoft, u iznosu od 40.000 dolara, a objavio je i white paper koji adresira ovaj problem. Apple ga je također nagradio kroz svoj Apple Security Bounty program. Do sada, ovaj etički haker je kroz različite programe, za pronalaženje ovog bug-a zaradio više od 130.000 dolara.