Hacker kiếm 130.000 USD nhờ phát hiện lỗ hổng bảo mật

Theo dõi Báo Gia Lai trên Google News

Theo Gizmodo, Alex Birsan - nhà nghiên cứu bảo mật người Romania đã kiếm được hơn 130.000 USD nhờ phát hiện ra lỗi trên hệ thống của hàng chục hãng công nghệ lớn.

Theo Birsan, đa số những công ty dính lỗ hổng này đều có quy mô lớn với hơn 1.000 nhân viên - Ảnh chụp màn hình
Theo Birsan, đa số những công ty dính lỗ hổng này đều có quy mô lớn với hơn 1.000 nhân viên - Ảnh chụp màn hình


Alex Birsan từng làm kỹ sư Python cho công ty phần mềm an ninh mạng Bitdefender, gần đây anh chủ yếu làm nhà tư vấn bảo mật hoạt động độc lập. Anh sử dụng tấn công chuỗi cung ứng để phát hiện lỗ hổng bảo mật trên hệ thống của Apple, Microsoft, Tesla, Netflix, Paypal, Uber và ít nhất 30 công ty khác.

Về cơ bản, Birsan nhận thấy một số gói mã nội bộ của các công ty lớn vô tình xuất hiện trên các dịch vụ cung cấp kho lưu trữ mã nguồn như Github, có thể vì nhiều lý do, chẳng hạn do "máy chủ nội bộ hoặc máy chủ đám mây bị định cấu hình sai" hay "các giai đoạn phát triển dễ bị tấn công một cách có hệ thống". Theo BleepingComputer, tin tặc có thể đăng mã độc lên kho nguồn mở như GitHub. Đôi khi những công cụ tự động do các công ty sử dụng sẽ nhầm lẫn gói mã công khai với gói mã nội bộ nếu cả hai trùng tên. Thế nên Alex Birsan đã thử tạo ra những gói mã để xem chúng có bị tải xuống hệ thống của các công ty lớn hay không.

Tình trạng như vậy đã xảy ra với PayPal. Công ty thừa nhận hệ thống tự động tải xuống các gói mã của Birsan và liên hệ cảm ơn anh. Bên cạnh đó cũng có công ty bảo mật Sonatype nhanh chóng nhận ra và cho rằng những gói mã của Birsan là mã độc, khiến anh phải liên hệ với công ty để trình bày về nghiên cứu mình đang thực hiện.

Alex Birsan phát hiện những lỗ hổng như vậy trên hệ thống của hơn 35 tổ chức, trên cả ba ngôn ngữ lập trình. Tuy nhiên Birsan khuyến cáo các hacker không nên hành động bốc đồng, phải đảm bảo các công ty mình định "tấn công" cho phép người ngoài kiểm tra hệ thống bảo mật thông qua chương trình săn lỗi nhận thưởng. Chính vì thế nên anh được thưởng hàng trăm nghìn USD - đây là khoản phí mà các công ty trả cho những hacker "mũ trắng" khi kiểm tra thành công hệ thống của họ.

 

Theo MAI ANH (TNO)

Có thể bạn quan tâm

Bệnh viện Phong - Da liễu Trung ương Quy Hòa nhận tài trợ chuyển đổi số từ VietinBank

Bệnh viện Phong - Da liễu Trung ương Quy Hòa nhận tài trợ chuyển đổi số từ VietinBank

(GLO)-Ngày 28-8, Ngân hàng TMCP Công Thương Việt Nam (Vietinbank) - Chi nhánh khu công nghiệp Phú Tài tặng hệ thống phần mềm thanh toán viện phí trực tuyến; hệ thống phần mềm đăng ký khám bệnh; thiết bị Kiosk TAG, phần mềm tiếp đón bệnh nhân tự động cho Bệnh viện Phong - Da liễu Trung ương Quy Hòa.

Từ 'trái tim' đến con người

Từ 'trái tim' đến con người

Vừa được khai trương trên khu đất rộng 20 ha, Trung tâm dữ liệu quốc gia số 1 do Bộ Công an xây dựng là một trong những trung tâm dữ liệu có quy mô lớn nhất Đông Nam Á, đạt chứng chỉ quốc tế với cấp độ cao nhất.

null