Quelqu'un a piraté Apple, Microsoft et PayPal et ils ne savaient même pas que c'était arrivé

Quelqu'un a piraté Apple, Microsoft et PayPal et ils ne savaient même pas que c'était arrivé

Nouvelles
Pomme

(Crédit image : Apple)

Imaginez trouver un exploit dans les plus grandes entreprises de la chaîne d'approvisionnement du monde et pouvoir simplement pénétrer dans chacune d'entre elles. Eh bien, c'est ce qu'a fait Alex Birsan.

Ne vous inquiétez pas, c'est un chercheur en sécurité qui a informé les entreprises, dont Apple, Microsoft, Netflix, PayPal et plus de 30 autres entreprises, de ses découvertes. En fait, il a reçu des primes allant jusqu'à 40 000 $ chacun pour ses efforts. Bien fait.

  • Restez protégé avec le meilleurs services VPN de 2021
  • Vérifiez meilleurs ordinateurs portables de 2021
  • Voici les meilleurs ordinateurs portables de jeu disponible dès maintenant

Le chercheur en sécurité a piraté une liste d'entreprises de la chaîne d'approvisionnement en exploitant une vulnérabilité qu'il appelle 'Dependency Confusion', dans laquelle il a utilisé de faux packages nommés comme des packages privés internes pour se faufiler (une explication très basique, remarquez). Les packages de Birsan ne contenaient aucun code, seulement une clause de non-responsabilité indiquant que 'ce package est destiné à des fins de recherche sur la sécurité et ne contient aucun code utile' (via Ordinateur qui bipe ).

' Des erreurs ponctuelles commises par les développeurs sur leurs propres machines, aux serveurs de construction internes ou basés sur le cloud mal configurés, en passant par les pipelines de développement systémiquement vulnérables, une chose était claire : squatter des noms de packages internes valides était une méthode presque infaillible pour entrer dans les réseaux de certaines des plus grandes entreprises technologiques, obtenant l'exécution de code à distance et permettant éventuellement aux attaquants d'ajouter des portes dérobées pendant les constructions , a déclaré Birsan dans son article sur Le moyen .

Apple a expliqué que l'exécution de code à distance sur les serveurs Apple aurait fonctionné avec la technique de package npm de Birsan, lui versant 30 000 $ en récompense. Apple a corrigé le bogue sur une période de deux semaines, mais d'autres sociétés telles que Shopify ont résolu le problème en une journée.

Selon l'article de Birsan, il avait reçu au moins 130 000 $ en primes de bogue, indiquant que la majorité des primes de bogue attribuées étaient fixées au montant maximum autorisé par la politique de chaque programme, et parfois même plus. Les primes de bogue sont des récompenses pour ceux qui trouvent un bogue dans leur système, et il semble que Birsan ait touché le jackpot.

L'article explique plus en détail comment il a violé les entreprises en utilisant des packages de fichiers privés et publics qui en valent vraiment la peine. lire . Si tout ce piratage vous inquiète, certains des meilleurs services VPN aujourd'hui pourrait résoudre ce problème.

Les meilleures offres ExpressVPN du jour EXCLUSIF - ÉCONOMISEZ 49 % VPN Express 12 mois .67/mois Voir à VPN express VPN Express 6 mois 9,99 $/mois Voir à VPN express VPN express 1 mois 12,95 $/mois Voir à VPN express