Un hacker român a încasat peste 100.000 dolari după ce a spart sistemele Apple, PayPal, Microsoft și Shopify

Alex Bîrsan, specialist în securitate digitală din Iași, a folosit o vulnerabilitate în sistemele de securitate ale unora dintre cele mai mari companii din lume și a câștigat și mulți bani făcând asta. Nu, nu este vorba despre un hacker care a spart conturile bancare ale companiilor, ci companiile l-au plătit pentru evidențierea problemelor pe care sistemele pe care le folosesc.

Un hacker român a fost răsplătit de mai multe companii pentru demonstrarea de vulnerabilități în sistemele lor de securitate

Bîrsan a fost angajat în trecut la Bitdefender și de trei ani lucrează pe cont propriu ca freelancer în domeniul securității online. Acesta a demonstrat o vulnerabilitate în sistemele de distribuție a codului sursă din cadrul companiilor mari precum Microsoft, Apple, Shopify, PayPal, Netflix, Tesla sau Uber, injectând cod propriu care îi permite acces la sistemele interne ale companiilor direct în codul sursă al acestora.

Se pare că anumite sisteme nu fac diferența între repozitoriile publice de cod și cele private, iar dacă fișierele au aceeași denumire, oricine poate să introducă cod neautorizat, care apoi să ajungă în versiunea finală a aplicației. Acest atac se numește Confuzie de Dependență (Dependency Confusion) și este explicată pe îndelete pe pagina de Medium a lui Bîrsan.

În ultima perioadă a câștigat 30.000 de dolari de la Shopify, care a reușit să își repare problema de pe o zi pe alta odată ce a fost descoperită, iar alți 30.000 de dolari au venit de la Apple. PayPal a fost de asemenea o altă companie care a plătit 30.000 pentru un „bug bounty”, în timp ce Microsoft a plătit 40.000 de dolari pentru aceeași vulnerabilitate. În total, acesta a strâns 130.000 de dolari de la cele mai mari companii de tehnologie din lume, pentru demonstrarea unei probleme grave de securitate.

Acest tip de hacking se numește „ethical hacking” sau „white collar hacking”, iar fiecare companie mare de tehnologie are un program prin care răsplătește hackerii cu bani pentru dezvăluirea de vulnerabilități de securitate.

sursa: Medium, via Gizmodo