ایک سیکورٹی محقق ایک سافٹ ویئر سپلائی چین اٹیک کا استعمال کرتے ہوئے ایپل، مائیکروسافٹ اور پے پال سمیت 35 سے زیادہ بڑی کمپنیوں کے اندرونی نظام کی خلاف ورزی کرنے میں کامیاب رہا۔ بلیپنگ کمپیوٹر )۔
سیکیورٹی محقق ایلکس برسن ایپل، مائیکروسافٹ، پے پال، Shopify، Netflix، Yelp، Tesla، اور Uber جیسی کمپنیوں کے سسٹمز پر حملہ کرنے کے لیے کچھ اوپن سورس ماحولیاتی نظاموں میں 'انحصار کنفیوژن' نامی منفرد ڈیزائن کی خامی کا فائدہ اٹھانے میں کامیاب رہا۔
اس حملے میں اوپن سورس ریپوزٹریز بشمول PyPI، npm، اور RubyGems پر میلویئر اپ لوڈ کرنا شامل تھا، جو خود بخود نیچے کی طرف مختلف کمپنیوں کی اندرونی ایپلی کیشنز میں تقسیم ہو گئے تھے۔ متاثرین کو خود بخود نقصان دہ پیکجز موصول ہوئے، جس میں سوشل انجینئرنگ یا ٹروجن کی ضرورت نہیں تھی۔
برسن اوپن سورس ریپوزٹریز پر انہی ناموں کا استعمال کرتے ہوئے جعلی پراجیکٹس بنانے کے قابل تھا، جن میں سے ہر ایک میں ایک ڈس کلیمر پیغام ہوتا تھا، اور پتہ چلا کہ ایپلیکیشنز خود بخود عوامی انحصار پیکجوں کو کھینچ لے گی، بغیر ڈویلپر سے کسی کارروائی کی ضرورت کے۔ کچھ معاملات میں، جیسے کہ PyPI پیکجوں کے ساتھ، اعلی ورژن والے کسی بھی پیکیج کو ترجیح دی جائے گی چاہے وہ کہیں بھی ہو۔ اس نے برسن کو متعدد کمپنیوں کے سافٹ ویئر سپلائی چین پر کامیابی سے حملہ کرنے کے قابل بنایا۔
اس بات کی تصدیق کرنے پر کہ اس کے جزو نے کارپوریٹ نیٹ ورک میں کامیابی کے ساتھ گھس لیا ہے، برسن نے اپنے نتائج کو زیر بحث کمپنی کو رپورٹ کیا، اور کچھ نے اسے بگ باؤنٹی سے نوازا۔ مائیکروسافٹ نے اسے 40,000 ڈالر کی اپنی سب سے زیادہ بگ باؤنٹی رقم دی اور اس سیکیورٹی کے معاملے پر ایک وائٹ پیپر جاری کیا، جبکہ ایپل نے بتایا بلیپنگ کمپیوٹر کہ Birsan کو ایپل سیکیورٹی باؤنٹی پروگرام کے ذریعے ذمہ داری سے مسئلے کو ظاہر کرنے پر انعام ملے گا۔ Birsan نے بگ باؤنٹی پروگرامز اور پہلے سے منظور شدہ پینیٹریشن ٹیسٹنگ انتظامات کے ذریعے اب $130,000 سے زیادہ کما لیا ہے۔
حملے کے پس پردہ طریقہ کار کی مکمل وضاحت ہے۔ Alex Birsan's پر دستیاب ہے۔ درمیانہ صفحہ .
ٹیگز: سائبرسیکیوریٹی، بگ باؤنٹی
مقبول خطوط