Понедельник, 23 декабря, 2024

Apple, Microsoft, PayPal, Shopify, Netflix, Tesla, Uber взломали: эксперт проник в более чем 35 технокомпаний

Исследователю кибербезопасности Алексу Бирсану удалось проникнуть во внутренние системы более 35 компаний. Среди них Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Большинство компаний в списке имеют более 1000 сотрудников.

Основным элементом атаки стал подход Dependency Confusion, а сама атака представляла собой популярный в последнее время способ проникновения, атакуя не систему желаемой компании, а систему поставщика сервисов для нее. Подобную атаку еще называют атакой на цепь поставок.

Эксперту удалось загрузить вредоносное программное обеспечение в репозитории с открытым исходным кодом, включая PyPI, npm, RubyGems. Из этих репозиториев вредоносный код автоматически распространился на внутреннее программное обеспечение компаний-жертв. При этом не нужна была социальная инженерия или использование троянцев для загрузки вредоносного кода в их системы.

Бирсану удалось создать фальшивые проекты, которые используют одинаковые названия с легальными репозиториями. При этом приложения автоматически подключают такие репозитории без необходимости действий от разработчика. В некоторых случаях, например с пакетами PyPI, система давала более новой версии больший приоритет независимо от ее места размещения.

Интересно, что когда Бирсан в августе 2020 года проводил подготовку ко взлому, он предупредил Apple о возможном векторе атаки. В Apple посчитали, что последствия такой атаки будут небольшими: «Получить бэкдор в рабочем сервисе требует более сложной цепочки событий и является очень особым условием, которое несет дополнительные коннотации».

Бирсан сообщил о своей находке все компании, в которые ему удалось проникнуть. Некоторые выплатили ему вознаграждение, самый большой чек дала Microsoft на сумму $40 000. Apple, Shopify, PayPal заплатили каждая по $30 000. Бирсан говорит, что компании награждали его по максимуму или даже больше, чем позволяли их программы вознаграждения за найденные баги.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися