Badaczowi bezpieczeństwa Alexowi Birsanowi dzięki odkrytej luce w zabezpieczeniach udało się zhakować serwery należące do technologicznych gigantów Apple, Microsoftu, Netflixa, Tesli, PayPala, a także przeszło 30 innych firm. Do tego celu wykorzystał dość proste rozwiązanie, mianowicie zamienił prywatne pakiety kodu standardowo aktywowane przez serwery na publiczne. Producenci często używają kodu bazującego na open source napisanego przez innych programistów, chociaż oprócz tego są opracowywane własne narzędzia nieudostępniane publicznie w internecie, ale we własnym gronie. Birsan wykorzystał exploit, który jego zdaniem ujawnił dziury lub wady projektowe w zautomatyzowanych rozwiązaniach do kompilacji bądź instalacji. Badacz użył kodu do pakietów umieszczonych w repozytoriach publicznych np. GitHub.
Badaczowi bezpieczeństwa Alexowi Birsanowi dzięki odkrytej luce w zabezpieczeniach udało się zhakować serwery należące do technologicznych gigantów Apple, Microsoftu, Netflixa, Tesli, PayPala, a także przeszło 30 innych firm.
Należy zaznaczyć, że badacz bezpieczeństwa nie dokonał ingerencji w systemy informatyczne przytoczonych korporacji bez ich wiedzy i zgody. Nim rozpoczął akcję skontaktował się z zainteresowanymi stronami mówiąc, że chce przeprowadzić tego rodzaju eksperyment. W efekcie tych prac udało się automatycznie przeanalizować miliony domen do atakowanych podmiotów oraz wyodrębnić setki dodatkowych nazw pakietów javascript niezgłoszonych jeszcze do rejestru npm. Problem jest poważny, bowiem dotyczy dużych branżowych graczy, z których usług korzystają miliony użytkowników na całym świecie. Wiadomo, że nie ma systemu bez wad, ale w tym przypadku posłużono się raczej prostą metodą obejścia zabezpieczeń, w które ktoś włożył pewne środki.
Według Birsana większość przedsiębiorstw, z którymi skontaktował się w sprawie dziury była w stanie szybko załatać swoje systemy, aby nie były już podatne na ataki. Dodatkowo Microsoft stworzył nawet specjalny dokument, w którym wyjaśnia administratorom systemów, w jaki sposób mogą chronić swoje firmy przed taką ingerencją. Mężczyzna za odkrycie dostał wynagrodzenie przekraczające 130 tysięcy dolarów. Microsoft niewątpliwie ma sporego pecha do tego rodzaju zdarzeń, ponieważ jakiś czas temu grupie hakerów udało się uzyskać dostęp do platform Azure i Active Directory z wykorzystaniem narzędzi do zarządzania sieciami SolarWinds. Jak wykazało śledztwo korporacji z Redmond ingerencja była większa niż początkowo zakładano.
Pokaż / Dodaj komentarze do: Giganci technologiczni zostali zhakowani przez badacza bezpieczeństwa. Jak do tego doszło?