Более $130 тыс получил руководитель исследовательской группы в виде вознаграждения от компаний за обнаруженные пробелы в их системах безопасности
В ходе эксперимента, задачей которого было выяснить насколько надежным является процесс скачивания программного обновления, исследователям удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber. Учебная атака «цепочки поставок» программного обеспечения заключалась в загрузке вредоносного ПО в репозиторий с открытым исходным кодом, включая PyPI, npm и RubyGems, которые затем автоматически распределялись во внутренние приложения компании.
В отличие от традиционных атак типа сквоттинга, основанных на тактике социальной инженерии или неправильном написании сотрудником фирмы фрагмента кода, эта атака является более опасной, поскольку не требует никаких действий со стороны жертвы. Попавший под прицел хакеров компьютер в автоматическом режиме получает вредоносные пакеты, после чего доступ к системе открыт.
Это объясняется тем, что в ходе атаки используется конструктивный недостаток системы с открытым исходным кодом, называемый «путаницей зависимостей». Сообщается, что руководитель группы исследователей заработал более $130 тыс в виде вознаграждений за найденные в компьютерных системах компаний ошибки.
СПРАВКА PAYSPACE MAGAZINE
Компания Илона Маска SpaceX расширяет программу публичного бета-тестирования своего спутникового сервиса Starlink. Представители компании объявили о готовности принимать предзаказы на будущее предоставление услуг спутникового интернета. Сообщается, что для потенциальных пользователей Starlink уже доступна опция регистрации на веб-сайте компании, где можно оформить предварительный заказ, стоимость которого на данный момент составляет $99.
ЧИТАЙТЕ ТАКЖЕ: Компании-партнеры Google готовятся к уходу поискового гиганта из Австралии
По материалам сайта bleepingcomputer.com