Румынский исследователь безопасности успешно обошел защитные системы Apple, Microsoft, Tesla, PayPal, Netflix и еще 30 крупнейших технологических компаний мира.
“Белый” хакер по имени Алекс Бирсан заранее уведомил компании, что будет тестировать безопасность их систем, но не сообщил подробностей предстоящей атаки. Бирсан смог проникнуть на сервера компаний довольно просто. Для этого он заменил частные пакеты кода, активируемые серверами, общедоступными.
При поиске пакета кода автоматические системы, используемые компаниями, часто подключаются к общедоступным хранилищам. Если для выполнения определенной функции требуется модуль Javascript, Ruby или Python, серверы компании автоматически заменяют свой модуль новым общедоступным, если считают его более новой версией.
Общедоступные модули хранятся в репозиториях npm для NodeJS, PyPi для Python и RubyGems для Ruby. Все они могут быть использованы для атаки, но проблема не ограничивается этими тремя репозиториями. Чтобы провести атаку, хакеру необходимо знать название частного пакета, используемого компанией. По словам Бирсана, выяснить эту информацию совсем нетрудно. Затем хакер загружает в общедоступный репозиторий свой модуль с таким же названием. А далее остается лишь ждать, пока сервер компании автоматически проглотит наживку. Автоматическая система не только загружает хакерский код, но и запускает его на своем сервере.
Большинство взломанных компаний уже отреагировали на проблему и устранили ее. По словам Бирсана, за информацию об уязвимости они выплатили максимальные суммы вознаграждений. Это означает, что уязвимость была признана ими очень серьезной.
