Investigador irrumpe en los sistemas de Apple y en más de 30 empresas de tecnología

Hablamos mucho por aquí sobre vulnerabilidades en los sistemas operativos orientados al usuario, que son relativamente comunes porque, bueno, es parte del ciclo continuo de actualización y cambio inherente a esos productos. Por otro lado, las fallas en sistemas internos de empresas Las tecnologías son más raras de llamar la atención, sobre todo porque estamos hablando de entornos altamente protegidos, llenos de secretos industriales y otros elementos sensibles.

Entonces, ¿qué pasa con el investigador de ciberseguridad? Alex Birsan? En los últimos meses, ha logrado piratear los sistemas internos de 35 empresas de tecnología, incluida la manzana y otros gigantes como el Microsoft, a Netflix, a Tesla, a uber, El Shopify es el PayPal.

Los detalles más técnicos de los ataques se encuentran en la publicación de Medium del investigador, pero básicamente Birsan usó un defecto de diseño inherente a ciertos ecosistemas de código abierto. La falla, llamada «confusión de dependencia», permite al atacante depositar malware en algunos repositorios del sistema (como PyPI, npm o RubyGems); desde allí, el software malicioso se distribuye en las aplicaciones internas de la empresa y llega a las máquinas de los empleados.

Todo se destaca porque no requiere ni un ápice de ingeniería social o acción interna: los ataques a los sistemas corporativos generalmente implican alguna estrategia para engañar / convencer a los empleados de que cedan datos, pero aquí el malware se distribuye silenciosamente, sin requerir ninguna acción de empleados.

Como dicta el “código de ética” del mundo de los hackers, Birsan notificó a las empresas pirateadas sobre las fallas meses antes de publicar sus hallazgos en el mundo. Varias de las empresas hicieron pagos al investigador como parte de sus programas de recompensa por errores; el premio más grande provino de Microsoft, que pagó 40.000 dólares a Birsan por sus hallazgos. En total, ya ha ganado alrededor de $ 130 mil con sus experimentos.

Apple, por su parte, dijo que también pagaría una prima a Birsan y que ya ha parcheado sus sistemas internos para tapar el agujero de vulnerabilidad. Que bueno entonces.

Artículos relacionados