IT: «Взломан Microsoft, Apple и Tesla и не только»

неoodooramar

Заглянувший
Регистрация
04.02.21
Сообщения
3
Реакции
4
Кредиты
0 ₽
Баллы
3
Алекс Бирсан придумал необычный вектор атаки на технологические компании, пользующиеся инструментами с открытым исходным кодом.
Многие IT-гиганты устанавливают пакеты из общедоступных репозиториев (таких как PyPI, npm и RubyGems).
Для взлома ему будет достаточно создать зависимость с таким же именем, но указать более новую версию. Тогда целевая система сочтет, что вышло "обновление", и загрузит вредоносный код.
По словам Бирсана, подмена файлов сработала для трех языков программирования — Python, Ruby и Java.

Ему удалось проникнуть во внутренние системы 35 крупных организаций — в том числе Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.
За помощь в обнаружении недостатков безопасности компании выплатили специалисту вознаграждения на общую сумму $130 000.
 
Верх Низ