A segurança cibernética é uma parte muito importante de qualquer empresa multinacional. Ou esta é a teoria. Dizemos isso porque um pesquisador de segurança conseguiu entrar nos sistemas das maiores empresas que existem no mundo incluindo Apple, Microsoft ou PayPal. Este é, sem dúvida, um duro golpe que foi realizado através do software que as empresas, sem dúvida, não esquecerão e tentarão corrigir. Neste artigo, contamos todos os detalhes sobre isso.
Apple e outras empresas em risco de hacking
O pesquisador de segurança Alex Birsan tornou esse problema de segurança público por meio de seu blog no Medium. Neste ele afirma que aproveitou uma vulnerabilidade no software de código aberto dos ecossistemas de certas empresas como A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla e Uber. Por meio desse ataque, o pesquisador conseguiu introduzir código malicioso no ecossistema. Isso resultou em vítimas direcionadas recebendo um pacote de malware sem a necessidade de engenharia social. Em outras palavras, não foi necessário colocar um link em um e-mail de phishing para conseguir se firmar em seus dispositivos. A simples introdução de malware na parte de código aberto, acessível a todos, mostrou uma vulnerabilidade bastante significativa.
Por meio desse ataque, ele conseguiu alcançar até mesmo as cadeias de suprimentos de software. Como ele pôde verificar que ao introduzir diferentes projetos na parte open source de uma empresa, ela extraía automaticamente os pacotes de dependência pública sem nenhum tipo de controle. Isso torna muito fácil, desde que você tenha o conhecimento, para atacar as entranhas de empresas importantes. Como dizemos, a metodologia utilizada é explicada em detalhes em seu blog que comentamos anteriormente. Mas com esses procedimentos você pode ver como pode ser fácil encontrar um bug de segurança se você pesquisar. Isso significa que a segurança não existe 100% e obviamente as empresas a recompensam.
Microsoft e Apple recompensam por esta falha de segurança
Logicamente, esse pesquisador de segurança não tornou público o erro no momento de descobri-lo. É por isso que se você tentar replicá-lo, será realmente complicado. O que esses pesquisadores de segurança fazem é se comunicar com as empresas atacadas para relatar o bug com um tempo razoável antes de torná-lo público para que possa ser corrigido, fechando a brecha de segurança. Mas essas informações não são oferecidas gratuitamente, mas essas empresas têm planos de receber esses relatórios de segurança.
Com essas informações o pesquisador pode ganhar muito dinheiro. Especificamente, a Microsoft, por meio de seu programa, ofereceu a ele um total de $ 40.000. Algo semelhante acontece com a Apple através do Apple Security Bounty através do qual a empresa prometeu recompensá-lo. No total, de todas as empresas que comentamos anteriormente, a pesquisadora relatou uma renda extra de $ 130.000 fazendo seu próprio trabalho.
