Berita Apple

Peneliti Melanggar Sistem Lebih dari 35 Perusahaan, Termasuk Apple, Microsoft, dan PayPal

Rabu 10 Februari 2021 07:31 PST oleh Hartley Charlton

Seorang peneliti keamanan mampu menembus sistem internal lebih dari 35 perusahaan besar, termasuk Apple, Microsoft, dan PayPal, menggunakan serangan rantai pasokan perangkat lunak (melalui Komputer Bleeping ).





peretasan paypal

Peneliti keamanan Alex Birsan mampu mengeksploitasi cacat desain unik di beberapa ekosistem sumber terbuka yang disebut 'kebingungan ketergantungan' untuk menyerang sistem perusahaan seperti Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber.



Serangan tersebut melibatkan pengunggahan malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian secara otomatis didistribusikan ke hilir ke berbagai aplikasi internal perusahaan. Korban secara otomatis menerima paket berbahaya, tanpa rekayasa sosial atau trojan yang diperlukan.

Birsan mampu membuat proyek palsu menggunakan nama yang sama pada repositori sumber terbuka, masing-masing berisi pesan penafian, dan menemukan bahwa aplikasi akan secara otomatis menarik paket ketergantungan publik, tanpa memerlukan tindakan apa pun dari pengembang. Dalam beberapa kasus, seperti dengan paket PyPI, paket apa pun dengan versi yang lebih tinggi akan diprioritaskan di mana pun lokasinya. Ini memungkinkan Birsan berhasil menyerang rantai pasokan perangkat lunak beberapa perusahaan.

Setelah memverifikasi bahwa komponennya telah berhasil menyusup ke jaringan perusahaan, Birsan melaporkan temuannya ke perusahaan yang bersangkutan, dan beberapa menghadiahinya dengan hadiah bug. Microsoft memberinya hadiah bug tertinggi sebesar $ 40.000 dan merilis kertas putih tentang masalah keamanan ini, sementara Apple memberi tahu BleepingComputer bahwa Birsan akan menerima hadiah melalui program Apple Security Bounty karena mengungkapkan masalah secara bertanggung jawab. Birsan kini telah memperoleh lebih dari $130,000 melalui program bug bounty dan pengaturan pengujian penetrasi yang telah disetujui sebelumnya.

Penjelasan lengkap tentang metodologi di balik serangan itu adalah tersedia di Alex Birsan's Medium halaman .

Tags: keamanan siber , karunia bug
bagaimana caranya bagaimana Berita Apple Ulasan Lainnya
Outlet Energi Eve's Matter-Enabled Sekarang Tersedia untuk Dibeli
Melihat Teknologi Sel Bahan Bakar Dengan Paket Tenaga Hidrogen 'Upp' Energi Cerdas untuk iPhone
Pesan Populer

Pesan Populer

Berita Apple
Aplikasi YouTube di Apple TV Diperbarui Mengikuti Keluhan Pengguna Atas Tata Letak Langganan dan Lainnya
Berita Apple
BlueJeans Telehealth Menambahkan Dukungan untuk Menyinkronkan Data Aplikasi Kesehatan Apple
Berita Apple
Apple Membagikan Video iPhone X 'Pasar Terbang' Baru yang Berfokus pada Apple Pay
Berita Apple
Apple Merilis Beta Ketujuh dari visionOS
Berita Apple
iFixit Merobek iMac M1 24-inci [Diperbarui]
Berita Apple
Apple Menambahkan 1.200 Pekerjaan Baru di San Diego di Hub Teknik Mendatang