Siber güvenlik, herhangi bir çok uluslu şirketin çok önemli bir parçasıdır. Ya da teori bu. Bunu söylüyoruz çünkü bir güvenlik araştırmacısı başardı. dünyanın en büyük şirketlerinin sistemlerine girmek Apple, Microsoft veya PayPal dahil. Bu, kuşkusuz firmaların unutmayacakları ve yama yapmaya çalışacakları yazılımlar üzerinden gerçekleştirilen ağır bir darbedir. Bu yazımızda size bununla ilgili tüm detayları anlatıyoruz.
Apple ve diğer şirketler hacklenme riskiyle karşı karşıya
Güvenlik araştırmacısı Alex Birsan, Medium'daki blogu aracılığıyla bu güvenlik sorununu herkese açık hale getirdi. Bunda, A gibi belirli şirketlerin ekosistemlerinin açık kaynaklı yazılımlarındaki bir güvenlik açığından yararlandığını belirtiyor. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla ve Uber. Bu saldırı sayesinde araştırmacı, ekosisteme kötü amaçlı kod girmeyi başardı. Bu, hedeflenen kurbanların sosyal mühendisliğe ihtiyaç duymadan bir kötü amaçlı yazılım paketi almasıyla sonuçlandı. Başka bir deyişle, cihazlarında yer edinebilmek için bir kimlik avı e-postasına bir bağlantı koymak gerekli değildir. Kötü amaçlı yazılımın, herkesin erişebileceği açık kaynak bölümüne eklenmesi, oldukça önemli bir güvenlik açığı gösterdi.
Bu saldırı sayesinde yazılım tedarik zincirlerine bile ulaşabildi. Bir şirketin açık kaynak bölümünde farklı projeler başlatırken, herhangi bir kontrol olmaksızın kamu bağımlılık paketlerini otomatik olarak çıkardığını doğrulayabildiği için. Bu, bilgi sahibi olduğunuz sürece önemli şirketlerin bağırsaklarına saldırmayı gerçekten kolaylaştırır. Dediğimiz gibi, kullanılan metodoloji daha önce yorumladığımız blogunda ayrıntılı olarak açıklanmaktadır. Ancak bu prosedürlerle, arama yaparsanız bir güvenlik açığı bulmanın ne kadar kolay olduğunu görebilirsiniz. Bu, güvenliğin %100 olmadığı ve açıkçası şirketlerin bunu ödüllendirdiği anlamına gelir.
Microsoft ve Apple bu güvenlik açığı için ödül
Mantıken, bu güvenlik araştırmacısı, keşfettiği sırada hatayı kamuya açıklamadı. Bu nedenle, onu kopyalamaya çalışırsanız, gerçekten karmaşık olacaktır. Bu güvenlik araştırmacılarının yaptığı şey, saldırıya uğrayan şirketlerle iletişim kurarak hatayı halka açık hale getirmeden önce makul bir süre içinde bildirmek, böylece yama yapılabilmekte ve güvenlik açığı kapatılmaktadır. Ancak bu bilgiler ücretsiz olarak sunulmuyor ancak bu şirketlerin bu güvenlik raporlarını almayı planlıyor.
Bu bilgi ile araştırmacı çok para kazanabilir. Özellikle Microsoft, programı aracılığıyla ona toplam 40.000 dolar. Apple'ın sizi ödüllendirmeyi vaat ettiği Apple Security Bounty aracılığıyla benzer bir şey olur. Toplamda, daha önce yorum yaptığımız tüm şirketlerden araştırmacı, fazladan bir gelir bildirdi. 130.000 $ kendi işini yapmak.
