Novedades

Alguien hackeó Apple, Microsoft y PayPal y ni siquiera sabían que sucedió

Imagínese encontrar un exploit en las empresas de cadena de suministro más grandes del mundo y poder simplemente acceder a cada una de ellas. Bueno, eso es lo que hizo Alex Birsan.

No se preocupe, es un investigador de seguridad que notificó a las empresas, incluidas Apple, Microsoft, Netflix, PayPal y más de otras 30 empresas, sobre sus hallazgos. De hecho, recibió pagos de recompensa de hasta € 40,000 cada uno por sus esfuerzos. Bien hecho.

El investigador de seguridad hackeó una lista de empresas de la cadena de suministro explotando una vulnerabilidad que él llama 'Confusión de dependencia', en la que usó paquetes falsos llamados paquetes privados internos para colarse (una explicación muy básica, fíjate). Los paquetes de Birsan no tenían código, solo un descargo de responsabilidad que decía, "este paquete está destinado a fines de investigación de seguridad y no contiene ningún código útil" (a través de Bleeping Computer ).

"Desde errores puntuales cometidos por los desarrolladores en sus propias máquinas, hasta servidores de compilación internos o basados ​​en la nube mal configurados, pasando por tuberías de desarrollo sistémicamente vulnerables, una cosa estaba clara: ocupar nombres de paquetes internos válidos era un método casi seguro para entrar en las redes de algunas de las compañías de tecnología más grandes que existen, obteniendo ejecución remota de código y posiblemente permitiendo a los atacantes agregar puertas traseras durante las compilaciones ", dijo Birsan en su artículo sobre The Medium .

Apple explicó que la ejecución remota de código en los servidores de Apple habría funcionado con la técnica del paquete npm de Birsan, pagándole una ingeniosa recompensa de 30.000 euros. Apple solucionó el error en un lapso de dos semanas, sin embargo, otras compañías como Shopify solucionaron el problema en un día.

Según el artículo de Birsan, al menos le habían otorgado € 130,000 en recompensas por errores, afirmando que "la mayoría de las recompensas por errores otorgadas se establecieron en la cantidad máxima permitida por la política de cada programa, y ​​a veces incluso más". Las recompensas por errores son recompensas para aquellos que encuentran errores dentro de su sistema, y ​​parece que Birsan se llevó el premio gordo.

El artículo entra en más detalles sobre cómo violó las empresas que utilizan paquetes de archivos públicos y privados que definitivamente vale la pena leer . Si todo este pirateo lo tiene preocupado, algunos de los mejores servicios de VPN de hoy podrían solucionarlo.

Publicaciones Similares