15.02.2021 11:56 |

Lücken gemeldet

130.000 Dollar für Hack von Apple, Microsoft & Co.

Ein IT-Experte, dem es gelungen ist, Schadcode in die Firmennetzwerke des Who-is-Who der IT-Welt einzuschleusen, hat mit dem Hack 35 großer IT-Konzerne 130.000 US-Dollar verdient. Nicht, indem er Lösegeld forderte oder Geschäftsgeheimnisse stahl. Als White-Hat-Hacker meldete er stattdessen die entdeckten Schwachstellen und erhielt „Finderlohn“.

Alex Birsan ist ein ethischer Hacker, in der IT-Branche auch White-Hat-Hacker genannt. Er klopft Unternehmensnetzwerke auf Schwachstellen ab und meldet den Firmen, was er findet. Dass auch die größten Namen der Branche nicht vor Hacks gefeit sind, demonstrierte er nun mit einem Hack, der ihn in die Firmennetzwerke 35 großer IT-Konzerne führte - darunter Riesen wie Apple, Microsoft, PayPal, Netflix, Tesla oder Uber.

Auf medium.com erklärt Birsan, wie ihm das gelang: Er nahm die Programmierer ins Visier, die sich bei ihren Projekten oft auf sogenannte „Dependencies“ verlassen. Dabei handelt es sich um Code-Bausteine, die projektübergreifend zum Einsatz kommen und direkt aus öffentlichen oder privaten Datenbanken in ein Projekt eingefügt werden. Gelänge es, manipulierten Code in diese Datenbanken einzuschleusen, müsste man damit ins Netzwerk der Programmierer eindringen können, vermutete er.

Interner PayPal-Code lieferte wichtigen Hinweis
Der Durchbruch gelang Birsan, als er gemeinsam mit einem anderen White-Hat-Hacker namens Justin Gardner in einer Datenbank Programmcode entdeckte, der vom Bezahldienst PayPal genutzt wurde. Darin fanden sich Verweise auf Programmbausteine, die nicht in der öffentlichen Datenbank zur Verfügung gestellt wurden, sondern aus PayPals internem Netzwerk stammen mussten.

Birsan schrieb Schadcode und platzierte diesen unter dem bei PayPal intern genutzten Namen in der öffentlichen Datenbank. Es dauerte nicht lang, bis sein Code in internen PayPal-Programmierprojekten auftauchte, weil bei der Installation der Codefragmente öffentlich verfügbaren Quellen automatisch der Vorzug gegeben wurde.

Über Code-Bausteine auch andere Firmen gehackt
Birsan weitete sein Experiment aus, suchte nach weiteren Code-Bausteinen großer IT-Unternehmen und testete, ob er auch dort auf ähnlichem Wege in die Netzwerke schlüpfen könnte. Er wurde schnell fündig und stellte fest, dass interner Code immer wieder seinen Weg in öffentliche Datenbanken wie GitHub und sogar Online-Foren findet.

Zitat Icon

Die Erfolgsrate war einfach erstaunlich.

Alex Birsan, White-Hat-Hacker

„Die Erfolgsrate war einfach erstaunlich“, resümiert der White-Hat-Hacker. Über die Schwachstelle, die er „Dependency Confusion“ taufte und für drei verschiedene Programmiersprachen ausprobierte, konnte er in die Firmennetzwerke von mehr als 35 IT-Unternehmen eindringen - meist Konzerne mit mehr als 1000 Mitarbeitern.

Hack brachte Birsan insgesamt 130.000 Dollar
Birsan meldete seinen Zielen die erfolgreichen Angriffe, damit diese ihre Netzwerke entsprechend absichern können - und verdiente in Summe rund 130.000 US-Dollar. Ein Teil der Summe war Teil von Verträgen, die er zuvor mit den Unternehmen geschlossen hatte und die vorsahen, dass Birsan die Netzwerke auf Schwachstellen testen sollte.

Der Rest setzte sich aus sogenannten „Bug Bounties“ zusammen. Dabei handelt es sich um „Finderlohn“ für White-Hat-Hacker, die einem Unternehmen eine potenziell gefährliche Sicherheitslücke melden. Je 30.000 US-Dollar erhielt Birsan etwa vom Online-Shop-Betreiber Shopify und dem Computerkonzern Apple, auch PayPal war die entdeckte Sicherheitslücke 30.000 Dollar wert.

Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Montag, 20. September 2021
Wetter Symbol