Um pesquisador de segurança desenvolveu um novo tipo de ataque que permitiu a invasão dos sistemas de 35 empresas de tecnologia.
Entre as companhias, estão grandes nomes como Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, e Uber.
O ataque se baseia no fato de que muitos projetos de software destas empresas utilizam como componentes “pacotes” de código desenvolvidos como projetos de código aberto.
O que o pesquisador Alex Birsan descobriu foi que estas empresas não usam os pacotes disponíveis nos servidores públicos, mas em cópias internas armazenadas em seus próprios servidores.
E aí Birsan se perguntou: o que acontece se houver um pacote público com o mesmo nome de um pacote interno? Para sua surpresa, ele detectou que o pacote público toma precedência, ou seja, ele é usado no lugar do pacote interno.
Por sua descoberta, o pesquisador recebeu US$ 130 mil em prêmios no programa de recompensas de várias empresas. O maior deles veio da Microsoft, que pagou US$ 40 mil, cerca de R$ 217 mil.