Ang cybersecurity ay isang napakahalagang bahagi ng anumang multinational na kumpanya. O ito ang teorya. Nasasabi namin ito dahil nagawa ng isang security researcher pumasok sa mga sistema ng pinakamalaking kumpanya na umiiral sa mundo kabilang ang Apple, Microsoft o PayPal. Ito ay walang alinlangan na isang matinding suntok na natupad sa pamamagitan ng software na walang alinlangan na hindi malilimutan ng mga kumpanya at susubukan nilang i-patch. Sa artikulong ito sasabihin namin sa iyo ang lahat ng mga detalye tungkol dito.
Apple at iba pang kumpanyang nasa panganib na ma-hack
Ang security researcher na si Alex Birsan ay ginawang pampubliko ang isyung ito sa seguridad sa pamamagitan ng kanyang blog sa Medium. Dito niya sinabi na sinamantala niya ang isang kahinaan sa open source software ng mga ecosystem ng ilang kumpanya tulad ng A pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla at Uber. Sa pamamagitan ng pag-atakeng ito, naipasok ng mananaliksik ang malisyosong code sa ecosystem. Nagresulta ito sa mga naka-target na biktima na makatanggap ng malware package nang hindi nangangailangan ng social engineering. Sa madaling salita, hindi kinailangang maglagay ng link sa isang phishing na email para makakuha ng foothold sa kanilang mga device. Ang simpleng pagpasok ng malware sa open source na bahagi, na naa-access ng lahat, ay nagpakita ng medyo makabuluhang kahinaan.
Sa pamamagitan ng pag-atakeng ito ay naabot niya kahit na ang mga supply chain ng software. Dahil nagawa niyang i-verify na kapag nagpapakilala ng iba't ibang proyekto sa open source na bahagi ng isang kumpanya, awtomatiko nitong kinuha ang mga public dependency package nang walang anumang uri ng kontrol. Ginagawa nitong talagang madali, hangga't mayroon kang kaalaman, na atakehin ang mga lamang-loob ng mahahalagang kumpanya. Tulad ng sinasabi namin, ang pamamaraan na ginamit ay ipinaliwanag nang detalyado sa kanyang blog na dati naming komento. Ngunit sa mga pamamaraang ito makikita mo kung gaano kadaling makahanap ng bug sa seguridad kung maghahanap ka. Nangangahulugan ito na ang seguridad ay hindi umiiral nang 100% at malinaw na ginagantimpalaan ito ng mga kumpanya.
Gantimpala ng Microsoft at Apple para sa kakulangan sa seguridad na ito
Sa lohikal na paraan, hindi ginawa ng mananaliksik ng seguridad na ito ang error sa oras ng pagtuklas nito. Kaya naman kung hahanapin mong gayahin ito, magiging kumplikado talaga. Ang ginagawa ng mga mananaliksik sa seguridad na ito ay makipag-ugnayan sa mga inaatakeng kumpanya upang iulat ang bug sa isang makatwirang tagal ng panahon bago ito isapubliko upang ito ay ma-patched, na isara ang butas ng seguridad. Ngunit ang impormasyong ito ay hindi inaalok nang libre, ngunit ang mga kumpanyang ito ay may mga plano na tumanggap ng mga ulat sa seguridad na ito.
Sa impormasyong ito ay maaaring kumita ng malaking pera ang mananaliksik. Sa partikular, ang Microsoft, sa pamamagitan ng programa nito, ay nag-alok sa kanya ng kabuuang ,000. May katulad na nangyayari sa Apple sa pamamagitan ng Apple Security Bounty kung saan ipinangako ng kumpanya na gagantimpalaan ka. Sa kabuuan, sa lahat ng mga kumpanyang napagkomentohan namin dati, nag-ulat ang mananaliksik ng dagdag na kita 0,000 paggawa ng sarili mong gawain.
