Ricercatore riesce a bucare Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber

Aleex Birsan merita di essere raccontata, perché l’hacker buono ha trovato un modo semplice e facile per accedere ai server delle più grandi aziende del mondo. Non un vero e proprio hack, perché alla fine il ricercatore ha semplicemente messo in luce una falla di design dei sistemi opensource usati ormai da tutte le più grandi aziende che scrivono software. Per il suo contributo si è aggiudicato 130.000$ di ricompense.

Alex Birsan è riuscito a far caricare librerie scritte da lui sugli applicativi e sui server di un numero enorme di aziende, tutto senza che l’azienda si sia accorta di nulla. Ha avuto l’idea quando ha visto l’elenco delle dipendenze, quindi delle librerie, usate da una applicazione di PayPal.

Alcune di queste librerie non sono disponibili pubblicamente, ma sono copie che ha fatto PayPal di librerie pubbliche che tiene sui suoi server interni o su repository privati. “Auth-paypal” ad esempio, o “wurlf-paypal”. Birsan ha capito che PayPal aggiunge per convenzione il suffisso “-paypal” a tutti i “fork” di librerie pubbliche. Tesla invece mette “tesla” come prefisso.

fonte: dday.it