Иллюстрация The Verge
Исследователь в области кибербезопасности Алекс Бирсан сумел проникнуть во внутренние системы 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber. И для этого ему даже не пришлось долго возиться со взломом.
В отличие от традиционных хакерских атак, его метод не требует особых навыков программирования, социальной инженерии и помощи сотрудников внутри компании. Эксперт заметил, что многие IT-гиганты устанавливают пакеты из общедоступных репозиториев, поэтому для взлома ему было достаточно разместить вредоносный файл с таким же именем, что у существующих пакетов, но указать более новую версию. После этого система сочла, что вышло «обновление» и загрузила его на компьютеры корпораций.
По словам Бирсана, подмена файлов сработала для трех языков программирования — Python, Ruby и Java. Данный метод Алекс назвал «путаницей зависимостей».
Эксперимент проводился без злого умысла, поэтому подменные пакеты не содержали в себе настоящего вредоносного кода. С помощью них Бирсан хотел лишь указать не недостатки безопасности и помочь с их исправлением. За найденную уязвимость он уже получил вознаграждений на сумму $130 тысяч (почти 10 млн рублей) от разных IT-компаний.