Badacz zhakował 35 ogromnych firm technologicznych. Na celowniku m.in. Apple, Microsoft i Tesla

Rumuński badacz opublikował raport, w którym szczegółowo opisał sposób, w jaki włamał się do systemów IT jednych z największych korporacji na świecie. Ofiarami jego ataków padły m.in. Apple, Microsoft, Tesla, PayPal czy Netflix.

Dla jasności Alex Birsan z wyprzedzeniem poinformował firmy, że będzie testował bezpieczeństwo ich systemów, ale nie podał im wcześniej żadnych szczegółów. Badacz wykonał swoje zadanie, wykorzystując stosunkowo proste rozwiązanie - zamienił prywatne pakiety kodu rutynowo aktywowane przez serwery na publiczne.

Podczas wyszukiwania pakietu kodu, zautomatyzowane systemy używane przez firmy korzystają z publicznych repozytoriów. Jeśli do wykonania określonej funkcji wymagany jest moduł Javascript, Ruby lub Python, serwery firmowe automatycznie zamienią moduł publiczny na własny wewnętrzny, po wykryciu pakietu o identycznej nazwie, który uważa za nowszą wersję.

Birsan w rozmowie z portalem "BleepingComputer" przyznał, że jego exploit ujawnił "luki w zabezpieczeniach lub wady projektowe w zautomatyzowanych narzędziach do kompilacji, lub instalacji, które mogą spowodować, że zależności publiczne będą mylone z zależnościami wewnętrznymi o tej samej nazwie". Badacz wykorzystał tę lukę i skorzystał z kodu do pakietów przechowywanych w repozytoriach publicznych, takich jak GitHub. Celowe powielanie nazw, a następnie zamianę plików, określił mianem "zamieszania związanego z zależnościami".

Pierwszym zadaniem, jakie musiał wykonać Birsan było określenie nazw używanych przez firmy w plikach kodu, aby móc tworzyć fałszywe pliki o tych samych nazwach.

- Udało nam się automatycznie przeskanować miliony domen należących do atakowanych firm i wyodrębnić setki dodatkowych nazw pakietów javascript, które nie zostały jeszcze zgłoszone do rejestru npm - powiedział Birsan.

Kod Birsana na szczęście nie był złośliwy. Ekspert pobrał tylko podstawowe informacje o każdym komputerze, na który miał wpływ jego kod, w tym nazwę użytkownika, nazwę hosta i bieżącą ścieżkę każdej unikalnej instalacji. Program powiadomił Birsana, kiedy jego kod został aktywowany przez docelowe firmy.

- Wraz z zewnętrznymi adresami IP były to wystarczające dane, aby pomóc zespołom ds. bezpieczeństwa zidentyfikować potencjalnie podatne na ataki systemy na podstawie moich raportów - powiedział Birsan.

W zamian za swoje dokonanie mężczyzna otrzymał "nagrodę za błędy", czyli pieniądze wypłacane przez firmy badaczom, którzy odkrywają luki w zabezpieczeniach. Wielkość jego wynagrodzenia przekroczyła 130 tys. dolarów.