Chlapík hackol systémy Applu, Microsoftu a ďalších
Alex Birsan, dlhoročný expert na online bezpečnosť, dokázal zneužiť jedinečnú chybu v systémoch s otvoreným zdrojovým kódom, ktorú nazýva „dependency confusion„. Úspešne tak zaútočil na interné systémy gigantických spoločností ako Apple, Microsfot, PayPal, Shopify, Netflix, Yelp, Tesla, Uber a ďalších. Dokopy ich bolo cca 35!
Útok zahŕňal nahrávanie škodlivého softvéru do úložísk s otvoreným zdrojovým kódom vrátane PyPI, PyPI a RubyGems, ktoré sa potom automaticky distribuovali do interných aplikácií spoločností.
Pokiaľ by sa táto chyba dostala do zlých rúk, mohla by narobiť obrovské problémy. Birsan je ale čestný výskumník a tak všetky zistenia nahlásil príslušným spoločnostiam, ktoré ho za jeho snahu patrične odmenili.
Napríklad spoločnosť Microsoft bola v tomto smere veľmi štedrá a výskumníkovi odovzdala zhruba 40 000$. Suma od Applu síce zverejnená nebola, no Birsan potvrdil, že mu bude vyplatená prostredníctvom známeho programu Apple Security Bounty.
Podľa samotného autora mu všetkých 35 spoločností zaplatilo dokopy cez 130 000$ a to stále nemusí byť konečná čiastka. Vo všetkých prípadoch bola samozrejme komplikovaná chyba urýchlene odstránená, aby náhodou neohrozovala bezpečnosť. Skvelá práca!