Alex Birsan, un ricercatore romeno, ha recentemente guadagnato oltre $ 130.000 penetrando nei sistemi IT di dozzine di importanti aziende tecnologiche.
Birsan ha utilizzato un singolo attacco innovativo per compromettere (d’accordo con le società interessate) Tesla, Netflix, Microsoft, Apple, Paypal, Uber, Yelp per un totale di almeno 35 aziende, come rivelato dalla stampa inglese.
Durante l’hackeraggio, il ricercatore romeno ha mostrato in primis una grave vulnerabilità di molti siti ed app, guadagnando tantissimo tramite più “bug bounties”, ossia quelle commissioni proposte da numerosi siti e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità.
Questi programmi permettono agli sviluppatori di scoprire e risolvere tali bug prima che siano di dominio pubblico, prevenendo problematiche potenzialmente di vasto impatto. Diversi programmi di Bug bounty sono stati avviati, tra i quali quelli di Facebook, Yahoo! Google e molti altri. In pratica le commissioni che le aziende pagano agli hacker “white hat” per testare le loro difese online.
Metodo Birsan: l’hackeraggio del codice nei programmi di sviluppo
Il modo in cui Birsan l’ha fatto è piuttosto interessante. Implica la manipolazione del codice nei programmi di sviluppo, in particolare le dipendenze, un codice aumentativo che viene utilizzato per eseguire con successo un programma.
LEGGI ANCHE >>> Huawei P40 Lite, nuovo aggiornamento di sicurezza in arrivo
Threatpost osserva che l’attacco inietterebbe un malware “nei strumenti comuni per l’installazione di dipendenze nel programmi di sviluppatori che in genere utilizzano depositi pubblici da siti come GitHub. Il malware – si legge – utilizza queste dipendenze per propagare un codice dannoso attraverso le applicazioni e i sistemi interni di una determinata azienda“.
LEGGI ANCHE >>> Google Maps, benzina nel motore: la nuova funzione per la gioia degli automobilisti
Birsan ha scoperto che alcuni pacchetti di codice interni a grandi aziende venivano pubblicati involontariamente in archivi pubblici, a causa di una serie di motivi, tra cui “server di compilazione interni o basati su cloud configurati in modo errato” e “pipeline di sviluppo sistemicamente vulnerabili” tra le altre.
Grazie al “metodo Birsan” si è anche scoperto che gli strumenti di compilazione automatizzati, utilizzati dalle aziende durante lo sviluppo, a volte “scambiano” questo codice pubblico per codice interno se i pacchetti avessero lo stesso nome.
“Questo tipo di vulnerabilità ha il potenziale per diventare un problema molto più grande in futuro”. Parola di Birsan, il ricercatore che ha violato 35 importanti aziende tecnologiche.