חוקר אבטחה הצליח לפרוץ את המערכות הפנימיות של למעלה מ-35 חברות גדולות, כולל אפל, מיקרוסופט ו-PayPal, באמצעות התקפת שרשרת אספקת תוכנה (באמצעות מחשב מצמרר ).
חוקר אבטחה אלכס בירסן הצליח לנצל פגם עיצובי ייחודי בכמה מערכות אקולוגיות בקוד פתוח הנקראות 'בלבול תלות' כדי לתקוף מערכות של חברות כמו אפל, מיקרוסופט, PayPal, Shopify, Netflix, Yelp, טסלה ואובר.
המתקפה כללה העלאת תוכנות זדוניות למאגרי קוד פתוח כולל PyPI, npm ו-RubyGems, שהופצו לאחר מכן באופן אוטומטי במורד הזרם לתוך האפליקציות הפנימיות של החברות השונות. הקורבנות קיבלו אוטומטית את החבילות הזדוניות, ללא צורך בהנדסה חברתית או סוסים טרויאניים.
בירסן הצליחה ליצור פרויקטים מזויפים תוך שימוש באותם שמות במאגרי קוד פתוח, שכל אחד מהם מכיל הודעת כתב ויתור, ומצאה שיישומים ימשכו אוטומטית חבילות תלות ציבוריות, ללא צורך בפעולה כלשהי מהמפתח. במקרים מסוימים, כמו עם חבילות PyPI, כל חבילה עם גרסה גבוהה יותר תזכה לעדיפות ללא קשר למקום שבו היא ממוקמת. זה אפשר לבירסן לתקוף בהצלחה את שרשרת אספקת התוכנה של מספר חברות.
לאחר וידוא כי הרכיב שלו חדר בהצלחה לרשת הארגונית, בירסן דיווח על ממצאיו לחברה המדוברת, וחלקם זיכו אותו בפרס באג. מיקרוסופט העניקה לו את סכום הבאג הגבוה ביותר שלה בסך 40,000 דולר ופרסמה ספר לבן בנושא אבטחה זה, בעוד אפל אמרה BleepingComputer ש-Birsan תקבל פרס דרך תוכנית Apple Security Bounty על חשיפה אחראית של הנושא. Birsan הרוויחה כעת יותר מ-$130,000 באמצעות תוכניות פרס באגים והסדרי בדיקת חדירה מאושרים מראש.
הסבר מלא על המתודולוגיה מאחורי המתקפה הוא להשיג אצל אלכס בירסן בינוני עמוד .
תגיות: אבטחת סייבר , פרס באג
רשום פופולרי