An ninh mạng là một phần rất quan trọng của bất kỳ công ty đa quốc gia nào. Hay đây là lý thuyết. Chúng tôi nói điều này bởi vì một nhà nghiên cứu bảo mật đã quản lý tham gia vào hệ thống của các công ty lớn nhất tồn tại trên thế giới bao gồm Apple, Microsoft hoặc PayPal. Đây chắc chắn là một đòn mạnh đã được thực hiện thông qua phần mềm mà các công ty chắc chắn sẽ không quên và sẽ cố gắng vá lỗi. Trong bài viết này, chúng tôi cho bạn biết tất cả các chi tiết về nó.
Apple và các công ty khác có nguy cơ bị hack
Nhà nghiên cứu bảo mật Alex Birsan đã công khai vấn đề bảo mật này thông qua blog của mình trên Medium. Trong đó, anh ta nói rằng anh ta đã lợi dụng một lỗ hổng trong phần mềm nguồn mở của hệ sinh thái của một số công ty như A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla y Uber. Thông qua cuộc tấn công này, nhà nghiên cứu đã có thể đưa mã độc vào hệ sinh thái. Điều này dẫn đến việc các nạn nhân được nhắm mục tiêu nhận được một gói phần mềm độc hại mà không cần đến kỹ thuật xã hội. Nói cách khác, không cần thiết phải đặt một liên kết trong một email lừa đảo để có thể có được chỗ đứng trên thiết bị của họ. Chỉ cần đưa phần mềm độc hại vào phần mã nguồn mở, mọi người đều có thể truy cập được, đã cho thấy một lỗ hổng khá nghiêm trọng.
Thông qua cuộc tấn công này, anh ta đã có thể tiếp cận ngay cả các chuỗi cung ứng phần mềm. Vì anh ta có thể xác minh rằng khi giới thiệu các dự án khác nhau trong phần mã nguồn mở của một công ty, nó sẽ tự động trích xuất các gói phụ thuộc công khai mà không cần bất kỳ loại kiểm soát nào. Điều này làm cho nó thực sự dễ dàng, miễn là bạn có kiến thức, để tấn công vào các chốt của các công ty quan trọng. Như chúng tôi đã nói, phương pháp luận được sử dụng được giải thích chi tiết trong blog của anh ấy mà chúng tôi đã nhận xét trước đây. Nhưng với những quy trình này, bạn có thể thấy việc tìm ra lỗi bảo mật có thể dễ dàng như thế nào nếu bạn tìm kiếm. Điều này có nghĩa là bảo mật không tồn tại 100% và rõ ràng là các công ty thưởng cho nó.
Microsoft và Apple thưởng cho lỗi bảo mật này
Về mặt logic, nhà nghiên cứu bảo mật này đã không công khai lỗi tại thời điểm phát hiện ra nó. Đó là lý do tại sao nếu bạn tìm cách tái tạo nó, nó sẽ thực sự phức tạp. Những gì các nhà nghiên cứu bảo mật này làm là liên lạc với các công ty bị tấn công để báo cáo lỗi trong một khoảng thời gian hợp lý trước khi công khai để có thể vá, đóng lỗ hổng bảo mật. Nhưng thông tin này không được cung cấp miễn phí mà các công ty này có kế hoạch nhận các báo cáo bảo mật này.
Với thông tin này, nhà nghiên cứu có thể kiếm được rất nhiều tiền. Cụ thể, Microsoft, thông qua chương trình của mình, đã cung cấp cho anh ta tổng số $ 40.000. Điều gì đó tương tự cũng xảy ra với Apple thông qua Apple Security Bounty mà qua đó công ty đã hứa thưởng cho bạn. Tổng cộng, trong số tất cả các công ty mà chúng tôi đã nhận xét trước đây, nhà nghiên cứu đã báo cáo thêm thu nhập là $ 130,000 làm công việc của riêng bạn.
