Понеділок, 20 Травня, 2024

Apple, Microsoft, PayPal, Shopify, Netflix, Tesla, Uber зламали: експерт проник у понад 35 технокомпаній

Досліднику кібербезпеки Алексу Бірсану вдалося проникнути у внутрішні системи понад 35 компаній. Серед них – Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Більшість компаній у списку мають понад 1000 працівників.

Основним елементом атаки став підхід Dependency Confusion, а сама атака являла собою популярний останнім часом спосіб проникнення, атакуючи не систему бажаної компанії, а систему постачальника сервісів для неї. Подібну атаку ще називають атакою на ланцюг поставок.

Експерту вдалося завантажити шкідливе програмне забезпечення в репозиторії з відкритим вихідним кодом, з PyPI, npm, RubyGems включно. Із цих репозиторіїв шкідливий код автоматично розповсюдився на внутрішнє програмне забезпечення компаній-жертв. При цьому не потрібна була соціальна інженерія чи використання троянців для завантаження шкідливого коду в їхні системи.

Бірсану вдалося створити фальшиві проекти, які використовують однакові назви з легальними репозиторіями. При цьому додатки автоматично підключають такі репозиторії без необхідності дій від розробника. У деяких випадках, наприклад з пакетами PyPI, система давала новішій версії більший приорітет незалежно від її місця розміщення.

Цікаво, що коли Бірсан у серпні 2020 року проводив підготовку до злому, він попередив Apple про можливий вектор атаки. В Apple вирішили, що наслідки такої атаки будуть невеликими: «отримати бекдор у робочому сервісі вимагає складнішого ланцюжка подій і є дуже особливою умовою, яка несе додаткові конотації».

Бірсан повідомив про свою знахідку всі компанії, в які йому вдалося проникнути. Деякі виплатили йому винагороду, найбільший чек дала Microsoft на суму $40 000. Apple, Shopify, PayPal заплатили кожна по $30 000. Бірсан каже, що компанії нагороджували його максимально або навіть більше, ніж дозволяли їхні програми винагороди за знайдені баги.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися