Понад $130 тис отримав керівник дослідницької групи у вигляді винагород від компаній за виявлені прогалини в їх системах безпеки
Фото: Jourtify
В ході експерименту, завданням якого було з’ясувати наскільки надійним є процес скачування програмного оновлення, дослідникам вдалося зламати внутрішні системи більше 35 великих компаній, включаючи Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla і Uber. Навчальна атака “ланцюжка поставок” програмного забезпечення полягала в завантаженні шкідливого ПО в репозиторій з відкритим вихідним кодом, включаючи PyPI, npm і RubyGems, які потім автоматично розподілялися у внутрішні додатки компанії.
На відміну від традиційних атак типу сквотингу, заснованих на тактиці соціальної інженерії або неправильному написанні співробітником фірми фрагмента коду, ця атака є більш небезпечною, оскільки не вимагає ніяких дій з боку жертви. Комп’ютер, що потрапив під приціл хакерів в автоматичному режимі отримує шкідливі пакети, після чого доступ до системи відкрито.
Це пояснюється тим, що в ході атаки використовується конструктивний недолік системи з відкритим вихідним кодом, що називається “плутанина залежностей”. Повідомляється, що керівник групи дослідників заробив понад $130 тис у вигляді винагород за знайдені в комп’ютерних системах компаній помилки.
ДОВІДКА PAYSPACE MAGAZINE
Компанія Ілона Маска SpaceX розширює програму публічного бета-тестування свого супутникового сервісу Starlink. Представники компанії оголосили про готовність приймати попередні замовлення на майбутнє надання послуг супутникового інтернету. Повідомляється, що для потенційних користувачів Starlink вже доступна опція реєстрації на вебсайті компанії, де можна оформити попереднє замовлення, вартість якого на даний момент складає $99.
ЧИТАЙТЕ ТАКОЖ: Компанії-партнери Google готуються до відходу пошукового гіганта з Австралії
За матеріалами сайту bleepingcomputer.com
