Kiberdrošība ir ļoti svarīga jebkura daudznacionāla uzņēmuma sastāvdaļa. Vai arī šī ir teorija. Mēs to sakām, jo drošības pētniekam tas ir izdevies iekļūt pasaulē lielāko uzņēmumu sistēmās tostarp Apple, Microsoft vai PayPal. Tas neapšaubāmi ir smags trieciens, kas ir veikts ar programmatūras starpniecību, kuru uzņēmumi, bez šaubām, neaizmirsīs un mēģinās aizlāpīt. Šajā rakstā mēs jums pastāstīsim visu par to.
Apple un citi uzņēmumi, kuriem draud uzlaušana
Drošības pētnieks Alekss Birsans ir publiskojis šo drošības problēmu, izmantojot savu emuāru vietnē Medium. Tajā viņš norāda, ka izmantojis atsevišķu uzņēmumu, piemēram, A, ekosistēmu atvērtā pirmkoda programmatūras ievainojamību. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla un Uber. Izmantojot šo uzbrukumu, pētnieks varēja ekosistēmā ieviest ļaunprātīgu kodu. Tā rezultātā mērķtiecīgie upuri saņēma ļaunprātīgas programmatūras pakotni bez sociālās inženierijas nepieciešamības. Citiem vārdiem sakot, pikšķerēšanas e-pastā nav bijis jāievieto saite, lai varētu nostiprināties savās ierīcēs. Ļaunprātīgas programmatūras vienkārša ieviešana atvērtā koda daļā, kas ir pieejama ikvienam, ir parādījusi diezgan nozīmīgu ievainojamību.
Ar šo uzbrukumu viņš varēja sasniegt pat programmatūras piegādes ķēdes. Tā kā viņš varēja pārbaudīt, ka, ieviešot dažādus projektus uzņēmuma atvērtā pirmkoda daļā, tas automātiski izvilka publiskās atkarības pakotnes bez jebkādas kontroles. Tādējādi ir ļoti viegli, ja vien jums ir zināšanas, uzbrukt svarīgu uzņēmumu iekšām. Kā mēs sakām, izmantotā metodika ir detalizēti izskaidrota viņa emuārā, kuru mēs iepriekš esam komentējuši. Taču, izmantojot šīs procedūras, varat redzēt, cik viegli var atrast drošības kļūdu, veicot meklēšanu. Tas nozīmē, ka drošība nepastāv 100% un acīmredzot uzņēmumi to atalgo.
Microsoft un Apple atlīdzina par šo drošības trūkumu
Loģiski, ka šis drošības pētnieks kļūdu nav publiskojis tās atklāšanas brīdī. Tāpēc, ja jūs mēģināt to atkārtot, tas būs patiešām sarežģīti. Šie drošības pētnieki sazinās ar uzbruktajiem uzņēmumiem, lai ziņotu par kļūdu saprātīgā laika posmā pirms tās publiskošanas, lai to varētu salabot, aizverot drošības caurumu. Bet šī informācija netiek piedāvāta par velti, bet šie uzņēmumi plāno saņemt šos drošības ziņojumus.
Izmantojot šo informāciju, pētnieks var nopelnīt daudz naudas. Konkrēti, Microsoft ar savas programmas starpniecību viņam piedāvāja pavisam 40 000 USD. Kaut kas līdzīgs notiek ar Apple, izmantojot Apple Security Bounty, ar kuru uzņēmums ir apsolījis jūs atlīdzināt. Kopumā no visiem iepriekš komentētajiem uzņēmumiem pētnieks ir ziņojis par papildu ienākumiem 130 000 USD darot savu darbu.
