安全研究人员 Alex Birsan1 通过某些开源系统中的设计缺陷,成功攻破了苹果、微软、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber 等超过 35 家国际巨头的内部系统。
Alex Birsan 将恶意软件上传到开放源代码库,包括 PyPI、npm 和 RubyGems,上传完成后这些恶意软件会自动分发到使用这些代码库的公司内部系统中,而不需要通过社工渗透或特洛伊木马。
在 Alex Birsan 确认恶意软件已经成功渗透到各公司的内部网络中后,他向这些公司报告了他发现的问题。
在确认该问题后,微软奖励了他 4 万美元的漏洞赏金,并发布了一份有关此问题的安全白皮书。 苹果也表示 Alex Birsan 将通过专门为漏洞发现者设立的 Apple Security Bounty 赏金计划获取现金奖励。
Alex Birsan 表示,截至目前他已获得了超过 13 万美元的奖励,其中微软 4 万美元、苹果 3 万美元、Paypal 3 万美元、Shopify 3 万美元。
领取专属 10元无门槛券
私享最新 技术干货