Открытый исходный код и вредоносные файлы: хакер нашёл уязвимость у крупных компаний
Им повезло, что это был исследователь безопасности с благими намерениями.
Алекс Бирсан, исследователь в области безопасности, нашёл простой способ взлома десяти американских компаний, среди которых Apple, Microsoft, Tesla, Uber и другие. И всем им крупно повезло, что Бирсан заметил уязвимость раньше злоумышленников.
Метод, которым воспользовался Бирсан, не требовал удалённого доступа к компьютерам компании или особых навыков социальной инженерии. Он просто загружал в репозитории для проектов с открытым исходным кодом вредоносные файлы, которые автоматически загружались на сервера компании и без какой-либо проверки заменяли оригинальные файлы.
На серверах компаний настроено автоматическое внедрение оупенсорсных проектов, поэтому с их стороны никакой ответ не нужен. Можно сказать, всё происходит автоматически.
Поскольку Бирсан «белый» хакер, на сервера он загружал безвредные файлы, а исследование опубликовал только после устранения уязвимости. Бирсан получил порядка 130 тысяч долларов в виде награды. В Apple также подтвердили, что свяжутся с хакером и вознаградят его.