एक सुरक्षा शोधकर्ता एक सॉफ्टवेयर आपूर्ति श्रृंखला हमले (के माध्यम से) का उपयोग करके ऐप्पल, माइक्रोसॉफ्ट और पेपैल समेत 35 से अधिक प्रमुख कंपनियों की आंतरिक प्रणालियों को भंग करने में सक्षम था। ब्लीपिंग कंप्यूटर )
सुरक्षा शोधकर्ता एलेक्स बिरसान Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla और Uber जैसी कंपनियों के सिस्टम पर हमला करने के लिए 'निर्भरता भ्रम' नामक कुछ ओपन-सोर्स इकोसिस्टम में एक अद्वितीय डिज़ाइन दोष का फायदा उठाने में सक्षम था।
हमले में PyPI, npm, और RubyGems सहित ओपन सोर्स रिपॉजिटरी में मैलवेयर अपलोड करना शामिल था, जो तब स्वचालित रूप से विभिन्न कंपनियों के आंतरिक अनुप्रयोगों में डाउनस्ट्रीम वितरित किए गए थे। पीड़ितों को स्वचालित रूप से दुर्भावनापूर्ण पैकेज प्राप्त हुए, बिना किसी सोशल इंजीनियरिंग या ट्रोजन की आवश्यकता के।
बिरसन ओपन-सोर्स रिपॉजिटरी पर समान नामों का उपयोग करके नकली प्रोजेक्ट बनाने में सक्षम था, प्रत्येक में एक अस्वीकरण संदेश था, और पाया कि एप्लिकेशन डेवलपर से किसी भी कार्रवाई की आवश्यकता के बिना, स्वचालित रूप से सार्वजनिक निर्भरता पैकेज खींच लेंगे। कुछ मामलों में, जैसे कि पीईपीआई पैकेज के साथ, उच्च संस्करण वाले किसी भी पैकेज को प्राथमिकता दी जाएगी चाहे वह कहीं भी स्थित हो। इसने बिरसन को कई कंपनियों की सॉफ्टवेयर आपूर्ति श्रृंखला पर सफलतापूर्वक हमला करने में सक्षम बनाया।
यह सत्यापित करने पर कि उसके घटक ने सफलतापूर्वक कॉर्पोरेट नेटवर्क में घुसपैठ कर ली है, बिरसन ने अपने निष्कर्षों की सूचना कंपनी को दी, और कुछ ने उसे बग बाउंटी के साथ पुरस्कृत किया। Microsoft ने उसे $40,000 की अपनी उच्चतम बग बाउंटी राशि प्रदान की और इस सुरक्षा मुद्दे पर एक श्वेत पत्र जारी किया, जबकि Apple ने बताया ब्लीपिंग कंप्यूटर कि बिरसन को इस मुद्दे का जिम्मेदारी से खुलासा करने के लिए ऐप्पल सुरक्षा बाउंटी कार्यक्रम के माध्यम से एक इनाम मिलेगा। बिरसन ने बग बाउंटी कार्यक्रमों और पूर्व-अनुमोदित प्रवेश परीक्षण व्यवस्थाओं के माध्यम से अब 130,000 डॉलर से अधिक की कमाई की है।
हमले के पीछे की कार्यप्रणाली की पूरी व्याख्या है एलेक्स बिरसन पर उपलब्ध है मध्यम पृष्ठ .
टैग: साइबर सुरक्षा , बग बाउंटी
लोकप्रिय पोस्ट