Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Эксперт по кибербезопасности взломал внутренние системы 35 крупных технологических компаний

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 02-09-2025, 07:59 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


ИБ-специалисту Алексу Бирсану удалось взломать внутренние системы 35 различных технологических компаний, среди которых и крупные корпорации: Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и т. д. Для взлома эксперт использован новый тип атаки на цепочку поставок программного обеспечения.
Суть проведенной экспертом атаки заключается в загрузке вредоносного ПО в репозитории с открытым исходным кодом, в том числе PyPI, npm и RubyGems, в результате чего вредоносу в дальнейшем удалось проникнуть в приложения крупных компаний, которые использовали их исключительно в своей внутренней сети.
В отличие от обычных атака типа сквоттинга, которые базируются на методиках социальной инженерии или неправильном написании жертвой имени пакета, кибератака на цепочку поставок, проведенная Алексом Бирсаном, является более сложной, потому что со стороны жертвы не требуется совершать никаких действий – все вредоносные пакеты она получает автоматически.
Это обусловлено тем, что во время атаки используется уникальный конструктивный недостаток экосистем с открытым исходным кодом, который называется «путаницей зависимостей».
В результате проведенной работы по поиску уязвимостей специалисту Алексу Бирсану удалось заработать около 130 тыс. долларов в рамках действующих программ Bug Bounty. «Мне очень бы хотелось, чтобы каждая компания, которая была затронута в моем исследовании, предоставила разрешение на тестирование своих систем безопасности или через общедоступные программы Bug Bounty, или через частные соглашения», – отметил специалист.
Корпорация Microsoft за обнаружение уязвимости вознаградила Алекса Бирсана суммой в размере 40 тыс. долларов, выпустив при этом официальный документ, посвященной этой проблеме безопасности. Уязвимость получила идентификатор CVE-2021-24105 для продукта Azure Artifactory.
Представители Microsoft следующим образом прокомментировали найденную проблему: «Конечно, это серьезная проблема безопасности, но ее необходимо исправлять за счет перенастройки инструментов установки и рабочих процессов, а не путем исправления чего-либо в самих репозиториях пакетов. Для решения этой проблемы мы внесли незначительные улучшения в артефакты Azure, чтобы гарантировать их использование в качестве надежного обходного пути. Мы уверены, что главной причиной возникновения этой проблемы является недостаток дизайна, а не ошибка в диспетчерах пакетов, которая может быть исправлена только путем перенастройки».
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 08:00 AM.

Contact Us - Carder.life - Archive - Top