사이버 보안은 다국적 기업에서 매우 중요한 부분입니다. 또는 이것이 이론입니다. 보안 연구원이 세계에 존재하는 가장 큰 회사의 시스템에 들어가다 Apple, Microsoft 또는 PayPal을 포함합니다. 이것은 의심할 여지 없이 기업이 잊지 않고 패치를 시도할 소프트웨어를 통해 수행된 큰 타격입니다. 이 기사에서 우리는 그것에 대한 모든 세부 사항을 알려줍니다.
해킹의 위험에 처한 Apple 및 기타 회사
보안 연구원 Alex Birsan은 Medium의 블로그를 통해 이 보안 문제를 공개했습니다. 이 글에서 그는 A와 같은 특정 기업 생태계의 오픈 소스 소프트웨어의 취약점을 이용했다고 밝혔습니다. pple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla 및 Uber. 이 공격을 통해 연구원은 생태계에 악성 코드를 도입할 수 있었습니다. 그 결과 표적 피해자는 사회 공학 없이도 멀웨어 패키지를 받았습니다. 다시 말해, 피싱 이메일에 링크를 추가할 필요가 없었습니다. 모든 사람이 액세스할 수 있는 오픈 소스 부분에 맬웨어를 도입하는 것만으로도 상당히 심각한 취약점이 나타났습니다.
이 공격을 통해 그는 소프트웨어 공급망까지 도달할 수 있었습니다. 그는 회사의 오픈 소스 부분에서 다른 프로젝트를 도입할 때 어떤 유형의 제어 없이 자동으로 공개 종속성 패키지를 추출 하는 것을 확인할 수 있었습니다. 이렇게 하면 지식이 있는 한 중요한 회사의 내부를 공격하기가 정말 쉽습니다. 우리가 말했듯이 사용된 방법론은 이전에 언급한 그의 블로그에 자세히 설명되어 있습니다. 그러나 이러한 절차를 통해 검색하면 보안 버그를 찾는 것이 얼마나 쉬운지 알 수 있습니다. 이것은 보안이 100% 존재하지 않으며 분명히 회사가 이를 보상한다는 것을 의미합니다.
이 보안 결함에 대한 Microsoft 및 Apple 보상
논리적으로 이 보안 연구원은 오류를 발견할 당시 오류를 공개하지 않았습니다. 그렇기 때문에 복제하려고 하면 정말 복잡해집니다. 이 보안 연구원이 하는 일은 공격을 받은 회사와 통신하여 적절한 시간 내에 버그를 보고한 후 공개하여 패치가 가능하도록 하여 보안 허점을 닫는 것입니다. 그러나 이 정보는 무료로 제공되지 않지만 이러한 회사는 이러한 보안 보고서를 받을 계획이 있습니다.
이 정보로 연구원은 많은 돈을 벌 수 있습니다. 특히 Microsoft는 프로그램을 통해 그에게 총 $40,000. 회사가 귀하에게 보상하기로 약속한 Apple Security Bounty를 통해 Apple에서도 유사한 일이 발생합니다. 전체적으로 우리가 이전에 언급한 모든 회사 중 연구원은 추가 수입을 보고했습니다. $130,000 자신의 일을 하고 있습니다.
