10/02/2021 - 15:23
Os ataques de hackers aos sistemas das empresas estão cada vez mais sofisticados. Desta vez, um pesquisador criou um novo tipo de ataque e conseguiu invadir os sistemas de pelo menos 35 empresas de tecnologia. Gigantes como a Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber estão entre as companhias que tiveram os seus sistemas de suprimentos atacados.
O ataque, no entanto, fazia parte de um experimento e todas as empresas deram autorização para que o pesquisador Alex Birsan pudesse testar a sua teoria, conforme o Olhar Digital. Birsan recebeu US$ 130 mil em prêmios no programa de recompensas de várias empresas pela sua descoberta.
+ Recurso de sincronização do Chrome pode ajudar hackers a roubar seus dados
O pesquisador percebeu uma vulnerabilidade das empresas em relação aos seus projetos de software, que utilizam como componentes “pacotes” de código desenvolvidos como projetos de código aberto e que são armazenados em repositórios acessíveis ao público. Descobriu ainda que as empresas não usam os pacotes disponíveis nos servidores públicos, mas cópias que ficam armazenadas em seus próprios servidores.
Com base nestes dados, o passo seguinte foi entender o que aconteceria se um pacote público tivesse o mesmo nome de um pacote interno e descobriu que o pacote público toma precedência, ou seja, ele é usado no lugar do pacote interno.
Birsan conseguiu cópias dos manifestos, arquivos que descrevem quais pacotes são usados por um software, de projetos de várias empresas. Por fim, criou pacotes “clone” em repositórios públicos com os mesmos nomes dos pacotes internos e conseguiu acessar dados das máquinas em que estavam instalados. Com isso, comprovou a sua teoria.