Apple News

Pesquisador violou sistemas de mais de 35 empresas, incluindo Apple, Microsoft e PayPal

Quarta-feira, 10 de fevereiro de 2021 7h31 PST por Hartley Charlton

Um pesquisador de segurança foi capaz de violar os sistemas internos de mais de 35 grandes empresas, incluindo Apple, Microsoft e PayPal, usando um ataque à cadeia de suprimentos de software (via Biping Computer )





hack do paypal

Pesquisador de segurança Alex Birsan foi capaz de explorar uma falha de design exclusiva em alguns ecossistemas de código aberto chamada 'confusão de dependências' para atacar os sistemas de empresas como Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla e Uber.



O ataque envolveu o upload de malware para repositórios de código aberto, incluindo PyPI, npm e RubyGems, que foram então automaticamente distribuídos para os aplicativos internos de várias empresas. As vítimas receberam automaticamente os pacotes maliciosos, sem necessidade de engenharia social ou trojans.

Birsan foi capaz de criar projetos falsificados usando os mesmos nomes em repositórios de código aberto, cada um contendo uma mensagem de isenção de responsabilidade, e descobriu que os aplicativos puxariam automaticamente os pacotes públicos de dependência, sem a necessidade de qualquer ação do desenvolvedor. Em alguns casos, como com os pacotes PyPI, qualquer pacote com uma versão superior seria priorizado, independentemente de onde estivesse localizado. Isso permitiu que Birsan atacasse com sucesso a cadeia de suprimentos de software de várias empresas.

Ao verificar que seu componente havia se infiltrado com sucesso na rede corporativa, Birsan relatou suas descobertas à empresa em questão e alguns o recompensaram com uma recompensa por bug. A Microsoft concedeu a ele sua maior recompensa por bug de $ 40.000 e lançou um white paper sobre este problema de segurança, enquanto a Apple disse BleepingComputer que Birsan receberá uma recompensa por meio do programa Apple Security Bounty por divulgar o problema de maneira responsável. Birsan já ganhou mais de $ 130.000 por meio de programas de recompensa de insetos e arranjos de testes de penetração pré-aprovados.

Uma explicação completa da metodologia por trás do ataque é disponível na casa de Alex Birsan Médio página .

Tags: segurança cibernética, recompensa por bug
Como Apple News Notícias da Apple Outro Reveja
Apple Pro Display XDR
Ofertas: Verizon tem novo Siri Remote por US $ 49,97 (US $ 9 de desconto), Apple Pencil 2 por US $ 103,99 e mais
Publicações Populares

Publicações Populares

Apple News
Samsung lança Galaxy Note 20, Galaxy Z Fold 2 e Galaxy Buds para competir com iPhones e AirPods Pro da Apple
Apple News
Dropbox lança gerenciador de senhas, cofre de arquivos e muito mais no iPhone e Mac
como
Veja como permitir que outra pessoa experimente seu Apple Vision Pro
How Tos
Como economizar espaço usando recursos integrados de armazenamento do iOS
Notícias da Apple
Apple lança macOS Ventura 13.3 com novos emojis, correções de bugs e muito mais
Apple News
Pioneer anuncia controlador DJ 'DDJ-WeGO2' para dispositivos iOS