Hacker kiếm 130.000 USD nhờ phát hiện lỗ hổng bảo mật

Theo dõi Báo Gia Lai trên Google News

Theo Gizmodo, Alex Birsan - nhà nghiên cứu bảo mật người Romania đã kiếm được hơn 130.000 USD nhờ phát hiện ra lỗi trên hệ thống của hàng chục hãng công nghệ lớn.

Theo Birsan, đa số những công ty dính lỗ hổng này đều có quy mô lớn với hơn 1.000 nhân viên - Ảnh chụp màn hình
Theo Birsan, đa số những công ty dính lỗ hổng này đều có quy mô lớn với hơn 1.000 nhân viên - Ảnh chụp màn hình


Alex Birsan từng làm kỹ sư Python cho công ty phần mềm an ninh mạng Bitdefender, gần đây anh chủ yếu làm nhà tư vấn bảo mật hoạt động độc lập. Anh sử dụng tấn công chuỗi cung ứng để phát hiện lỗ hổng bảo mật trên hệ thống của Apple, Microsoft, Tesla, Netflix, Paypal, Uber và ít nhất 30 công ty khác.

Về cơ bản, Birsan nhận thấy một số gói mã nội bộ của các công ty lớn vô tình xuất hiện trên các dịch vụ cung cấp kho lưu trữ mã nguồn như Github, có thể vì nhiều lý do, chẳng hạn do "máy chủ nội bộ hoặc máy chủ đám mây bị định cấu hình sai" hay "các giai đoạn phát triển dễ bị tấn công một cách có hệ thống". Theo BleepingComputer, tin tặc có thể đăng mã độc lên kho nguồn mở như GitHub. Đôi khi những công cụ tự động do các công ty sử dụng sẽ nhầm lẫn gói mã công khai với gói mã nội bộ nếu cả hai trùng tên. Thế nên Alex Birsan đã thử tạo ra những gói mã để xem chúng có bị tải xuống hệ thống của các công ty lớn hay không.

Tình trạng như vậy đã xảy ra với PayPal. Công ty thừa nhận hệ thống tự động tải xuống các gói mã của Birsan và liên hệ cảm ơn anh. Bên cạnh đó cũng có công ty bảo mật Sonatype nhanh chóng nhận ra và cho rằng những gói mã của Birsan là mã độc, khiến anh phải liên hệ với công ty để trình bày về nghiên cứu mình đang thực hiện.

Alex Birsan phát hiện những lỗ hổng như vậy trên hệ thống của hơn 35 tổ chức, trên cả ba ngôn ngữ lập trình. Tuy nhiên Birsan khuyến cáo các hacker không nên hành động bốc đồng, phải đảm bảo các công ty mình định "tấn công" cho phép người ngoài kiểm tra hệ thống bảo mật thông qua chương trình săn lỗi nhận thưởng. Chính vì thế nên anh được thưởng hàng trăm nghìn USD - đây là khoản phí mà các công ty trả cho những hacker "mũ trắng" khi kiểm tra thành công hệ thống của họ.

 

Theo MAI ANH (TNO)

Có thể bạn quan tâm

Phối hợp quản lý và sử dụng các nhãn hiệu chứng nhận, chỉ dẫn địa lý mang địa danh “Gia Lai”

Phối hợp quản lý và sử dụng các nhãn hiệu chứng nhận, chỉ dẫn địa lý mang địa danh “Gia Lai”

(GLO)- Để việc quản lý các nhãn hiệu chứng nhận, chỉ dẫn địa lý mang địa danh “Gia Lai” đạt hiệu quả, Sở Khoa học và Công nghệ (KH-CN) yêu cầu các đơn vị liên quan phối hợp quản lý và phát triển các nhãn hiệu theo quy định của Luật Sở hữu trí tuệ.