একজন নিরাপত্তা গবেষক একটি সফটওয়্যার সাপ্লাই চেইন অ্যাটাক ব্যবহার করে অ্যাপল, মাইক্রোসফট এবং পেপ্যাল সহ 35টিরও বেশি বড় কোম্পানির অভ্যন্তরীণ সিস্টেম লঙ্ঘন করতে সক্ষম হয়েছেন (এর মাধ্যমে ব্লিপিং কম্পিউটার )
নিরাপত্তা গবেষক অ্যালেক্স বিরসান অ্যাপল, মাইক্রোসফ্ট, পেপ্যাল, শপিফাই, নেটফ্লিক্স, ইয়েলপ, টেসলা এবং উবারের মতো কোম্পানিগুলির সিস্টেমগুলিতে আক্রমণ করার জন্য 'নির্ভরতা বিভ্রান্তি' নামক কিছু ওপেন-সোর্স ইকোসিস্টেমের একটি অনন্য নকশা ত্রুটি কাজে লাগাতে সক্ষম হয়েছিল।
এই আক্রমণে PyPI, npm, এবং RubyGems সহ ওপেন সোর্স রিপোজিটরিতে ম্যালওয়্যার আপলোড করা জড়িত ছিল, যেগুলি বিভিন্ন কোম্পানির অভ্যন্তরীণ অ্যাপ্লিকেশনগুলিতে স্বয়ংক্রিয়ভাবে নিচের দিকে বিতরণ করা হয়েছিল। ভুক্তভোগীরা স্বয়ংক্রিয়ভাবে দূষিত প্যাকেজগুলি পেয়েছে, কোন সামাজিক প্রকৌশল বা ট্রোজান প্রয়োজন নেই।
বিরসান ওপেন সোর্স রিপোজিটরিতে একই নাম ব্যবহার করে জাল প্রকল্প তৈরি করতে সক্ষম হয়েছিল, যার প্রতিটিতে একটি দাবিত্যাগ বার্তা রয়েছে, এবং আবিষ্কার করেছে যে অ্যাপ্লিকেশনগুলি বিকাশকারীর কাছ থেকে কোনও পদক্ষেপের প্রয়োজন ছাড়াই স্বয়ংক্রিয়ভাবে সর্বজনীন নির্ভরতা প্যাকেজগুলিকে টেনে আনবে। কিছু ক্ষেত্রে, যেমন PyPI প্যাকেজগুলির সাথে, উচ্চতর সংস্করণ সহ যেকোনো প্যাকেজ যেখানেই থাকুক না কেন অগ্রাধিকার দেওয়া হবে। এটি বিরসানকে একাধিক কোম্পানির সফটওয়্যার সাপ্লাই চেইন সফলভাবে আক্রমণ করতে সক্ষম করে।
তার উপাদান সফলভাবে কর্পোরেট নেটওয়ার্কে অনুপ্রবেশ করেছে তা যাচাই করার পরে, বিরসান তার ফলাফলগুলি প্রশ্নবিদ্ধ কোম্পানিকে জানায় এবং কেউ কেউ তাকে বাগ বাউন্টি দিয়ে পুরস্কৃত করে। মাইক্রোসফ্ট তাকে তার সর্বোচ্চ বাগ বাউন্টি পরিমাণ $40,000 প্রদান করেছে এবং এই নিরাপত্তা ইস্যুতে একটি সাদা কাগজ প্রকাশ করেছে, যখন অ্যাপল জানিয়েছে ব্লিপিং কম্পিউটার যে বিরসান দায়িত্বশীলভাবে সমস্যাটি প্রকাশ করার জন্য অ্যাপল সিকিউরিটি বাউন্টি প্রোগ্রামের মাধ্যমে একটি পুরষ্কার পাবেন। বাগ বাউন্টি প্রোগ্রাম এবং প্রাক-অনুমোদিত পেনিট্রেশন টেস্টিং ব্যবস্থার মাধ্যমে বিরসান এখন $130,000 এর বেশি আয় করেছে।
হামলার পেছনের পদ্ধতির পূর্ণাঙ্গ ব্যাখ্যা রয়েছে অ্যালেক্স বিরসানে উপলব্ধ মধ্যম পৃষ্ঠা .
ট্যাগ: সাইবার নিরাপত্তা , বাগ বাউন্টি
জনপ্রিয় পোস্ট