Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

«Удивительно простая тактика»: как удалось взломать Microsoft и Apple

ИБ-исследователь взломал внутренние системы Microsoft, Apple и Tesla

«Белому» хакеру Алексу Бирсану удалось получить доступ к компьютерным системам около 30 компаний, включая Apple, Microsoft, PayPal, Tesla, Netflix и ряду других. Как исследователь смог осуществить свою атаку и каковы были бы ее последствия, будь на его месте настоящий киберпреступник — в материале «Газеты.Ru».

На протяжении пары последних месяцев «белому», или этическому, хакеру Алексу Бирсану удалось взломать несколько десятков крупных компаний. Об этом ИБ-исследователь сообщил в своем блоге на площадке Medium.

«Жертвами» Бирсана стали Apple, Microsoft, PayPal, Tesla, Yelp, Uber и другие бренды Кремниевой долины. Свою атаку хакер назвал «путаницей зависимостей».

Бирсан заметил, что многие технологические компании пользуются репозиториями с открытым исходным кодом, например, PyPI, npm и RubyGems. Тогда он загрузил в них пакет с некими программами, подделав их название таким образом, чтобы оно совпадало с названием используемого IT-гигантами программного обеспечения. При этом он указал более «новую» версию софта, чтобы система решила, что вышло обновление и автоматически его скачала. Это возможно из-за путаницы в зависимости файлов репозитория. 

Эта атака не требует использования методов социальной инженерии и вмешательства злоумышленника, кроме момента загрузки поддельного ПО. Если бы данной уязвимостью воспользовался реальный преступник, то он мог бы загрузить вирус во внутренние системы десятков компаний одновременно, а затем использовать зловред в своих целях. Портал Business Insider назвал такой способ «удивительно простой тактикой».

После того, как Бирсан сообщил взломанным им компаниям о найденных уязвимостях, он получил в общей сложности $130 тыс. в рамках программы Bug Bounty. На текущий момент все бреши в системе безопасности устранены.

Последствия этой атаки, если бы она была осуществлена преступником, могли быть довольно серьезными, поскольку пострадавшая компания в основном импортирует в свою систему мошеннический код из репозитория, контролируемого злоумышленником, рассказал «Газете.Ru» старший исследователь безопасности Avast Мартин Хрон.

По словам Хрона, проблема «путаницы зависимостей» может привести к атаке на цепочку поставок или краже данных, а потому носит очень серьезный характер.

Это подтверждается тем фактом, что большинство затронутых компаний сделали максимальные выплаты в пользу Бирсана за выявленные ошибки.

«Этим эксплойтом, или, скорее, ошибкой, очень легко злоупотреблять, как это и было доказано упомянутым исследователем. Единственное требование – знать, какие имена сборок использует нужная компания. Обычно это довольно легко можно узнать, используя общедоступную информацию или меняя сам продукт. Остальное действительно просто, поскольку многие из этих общедоступных репозиториев не проводят никаких проверок безопасности: любой может просто отправить и зарегистрировать в них новую сборку», — заявил эксперт.

Ранее стало известно, что в популярном браузере Google Chrome были обнаружены сразу три уязвимости, каждая из которых могла быть использована злоумышленниками для атак на пользователей.

Новости и материалы
Российское подразделение 10 дней отражало атаки превосходящих по численности ВСУ
Раскрыты имена звезд, которых допросят по делу Игоря Талькова
Дроны ВСУ атаковали автомобиль пророссийской администрации Харьковской области
Стало известно, сколько зарабатывают таксисты в Москве
На Украине заявили о повреждении объекта критической инфраструктуры под Херсоном
В Раде посмеялись над Зеленским и предложили назвать ядерную бомбу в его честь
Мария Погребняк впервые вышла в свет с новым мужем
Российские подростки избили охранника ТЦ битой и распылили на него перцовый баллончик
Во Владивостоке возбудили дело после падения пенсионерки в кипяток
Стало известно о попытке массового отступления ВСУ из-под Курахово
Филиппа Киркорова объявили в розыск судебные приставы
Мэр Самары ушла в отставку
В Турции оценили угрозу оттока туристов после отмены all inclusive в отелях
В России создали устройство для защиты автомобилей от дронов
Власти Крымского района Кубани сообщили об оцеплении мест падения БПЛА
Почти 20 детей и один взрослый отравились в школе чувашского Новочебоксарска
Украинский военный рассказал, как Украина «доигралась»
Появилось видео из атакованного 36 беспилотниками Краснодарского края
Все новости