على رأسها آبل ونتفليكس.. شخص يحصل على 130 ألف دولار عن طريق اختراق شركات بخدعة بسيطة وذكية

قال الباحث الأمني أليكس بيرسان أنه توصل إلى ثغرة أمنية أتاحت له تشغيل التعليمات البرمجية عن طريق خوادم أكثر من 35 شركة تقنية، على رأسها شركة “أبل“، و”مايكروسوفت“، و”باي بال“، و”نتفلكس” و”تسلا“.

المستغرب أن الحيلة التي اتبعها بيرسان، ليست معقدة أو غريبة، مما يوجب على كثير من مطوّري البرامج الكبار معرفة كيفية الحماية منها.

والخدعة مبنية على حزم برمجيات تستخدمها الشركات الكبرى على نحو كبير، فعندما تقوم الشركات ببناء برامج، فإنها غالبا تستخدم تعليمات برمجية مفتوحة المصدر كتبها أشخاص آخرون، لذلك فهي لا تنفق الوقت والموارد على حل مشكلة حُلّت بالفعل.

ويمكن العثور على هذه البرامج المتوفرة للجمهور في مخازن برمجية متاحة، مثل “إن بي إم” (npm)، و”باي باي” (PyPi)، و”روبي غيمز” (RubyGems).

وقد وجد بيرسان أن هذه المستودعات يمكن استخدامها لتنفيذ هذا الهجوم، لكن الأمر لا يقتصر على الحزم البرمجية الثلاث المذكورة فقط.

فبالإضافة إلى هذه الحزم العامة، تقوم الشركات عادة ببناء حزم خاصة بها، لكنها لا تقوم بتحميلها، وبدلاً من ذلك توزيعها على مطوريها، ومن هنا وجد بيرسان الثغرة.

واكتشف بيرسان أن العثور على أسماء الحزم الخاصة التي تستخدمها الشركات، هي مهمة سهلة جدا في معظم الحالات.

وكان بإمكانه تحميل التعليمات البرمجية الخاصة به إلى أحد المستودعات العامة التي تحمل الاسم نفسه، وبذلك تستخدم الأنظمة الآلية للشركات تعليماته البرمجية بدلا من ذلك.

ولن تقوم الشركات بتنزيل الحزمة الخاصة به بدلا من الحزمة الصحيحة فقط، بل تقوم أيضا بتشغيل التعليمات البرمجية بداخلها.

ويبدو أن الشركات اتفقت على أن المشكلة خطرة، ففي رسالته عبر منصة “ميديم” (Medium)، كتب بيرسان أن غالبية مكافآت الأخطاء الممنوحة له حُدّدت بالحد الأقصى المسموح به بموجب سياسة كل برنامج، وأحيانا بحد أعلى.

وحصل الباحث على أكثر من 130 ألف دولار من مكافآت الأخطاء، وذلك بالنظر إلى جهوده البحثية الأخلاقية.

ووفقا لبيرسان، تمكنت معظم الشركات التي اتصل بها بشأن استغلال تلك الثغرة من تصحيح أنظمتها بسرعة حتى لا تكون عرضة للخطر.

وقدمت مايكروسوفت مستندًا تقنيا يشرح كيف يمكن لمسؤولي النظام حماية الشركات من هذه الأنواع من الهجمات، لكنّ المدهش أن الأمر استغرق كل هذا الوقت حتى يدرك شخص ما أن هذه الشركات الضخمة كانت عرضة لهذا النوع من الهجمات.

المصدر: الجزيرة

KHALED HAMZEH

Content creator - UX writer

Share via
Copy link
Powered by Social Snap