Alex Birsan, un ricercatore romeno, ha recentemente guadagnato oltre $ 130.000 penetrando nei sistemi IT di dozzine di importanti aziende tecnologiche.
Birsan ha utilizzato un singolo attacco innovativo per compromettere (d’accordo con le società interessate) Tesla, Netflix, Microsoft, Apple, Paypal, Uber, Yelp per un totale di almeno 35 aziende, come rivelato dalla stampa inglese.
Durante l’hackeraggio, il ricercatore romeno ha mostrato in primis una grave vulnerabilità di molti siti ed app, guadagnando tantissimo tramite più “bug bounties”, ossia quelle commissioni proposte da numerosi siti e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.
Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto. Diversi programmi di Bug bounty sono stati avviati, tra i quali quelli di Facebook, Yahoo! Google e molti altri. In pratica le commissioni che le aziende pagano agli hacker “white hat” per testare le loro difese online.
Il modo in cui Birsan l’ha fatto è piuttosto interessante. Implica la manipolazione del codice nei programmi di sviluppo, in particolare le dipendenze, un codice aumentativo che viene utilizzato per eseguire con successo un programma.
LEGGI ANCHE >>> Huawei P40 Lite, nuovo aggiornamento di sicurezza in arrivo
Threatpost osserva che l’attacco inietterebbe un malware “nei strumenti comuni per l’installazione di dipendenze nel programmi di sviluppatori che in genere utilizzano depositi pubblici da siti come GitHub. Il malware – si legge – utilizza queste dipendenze per propagare un codice dannoso attraverso le applicazioni e i sistemi interni di una determinata azienda“.
LEGGI ANCHE >>> Google Maps, benzina nel motore: la nuova funzione per la gioia degli automobilisti
Birsan ha scoperto che alcuni pacchetti di codice interni a grandi aziende venivano pubblicati involontariamente in archivi pubblici, a causa di una serie di motivi, tra cui “server di compilazione interni o basati su cloud configurati in modo errato” e “pipeline di sviluppo sistemicamente vulnerabili” tra le altre.
Grazie al “metodo Birsan” si è anche scoperto che gli strumenti di compilazione automatizzati, utilizzati dalle aziende durante lo sviluppo, a volte “scambiano” questo codice pubblico per codice interno se i pacchetti avessero lo stesso nome.
“Questo tipo di vulnerabilità ha il potenziale per diventare un problema molto più grande in futuro”. Parola di Birsan, il ricercatore che ha violato 35 importanti aziende tecnologiche.
Microsoft ha recentemente aggiornato la sua app Xbox su PC, aggiungendo la possibilità di giocare…
Novità in arrivo in casa Apple, il nuovo sistema di età presente nell'App Store è…
Un gioco horror da paura, intriso di un'atmosfera decadente e marcia, capace di attanagliare il…
È possibile recuperare le chat di Telegram cancellate per sbaglio o per far spazio nell'archivio?…
Può essere molto utile sapere come aggiungere applicazioni su Android Auto per rendere ancora più…
Playstation potrebbe aver deciso di intraprendere un nuovo percorso commerciale che pone fine all'era della…