Un investigador de seguridad llamado Alex Birsan ha conseguido infiltrarse en la red interna de Apple, consiguiendo acceso a datos en sus equipos y todo de manera inadvertida por parte de la empresa. Sin embargo, ha notificado a Apple de manera responsable cómo lo ha conseguido, demostrando la brecha de seguridad, y por eso ha recibido una recompensa económica.
No sólo en Apple, sino también en Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, y Uber ha conseguido entrar, utilizando un método que ahora parece obvio pero en el que nadie en estas empresas había caído hasta ahora, algo que sorprende.
Muchas empresas, por no decir todas, utilizan software de código abierto, disponible en repositorios como Github, en los que puede colaborar un elevado número de programadores en todo el mundo. Este investigador se infiltró en los desarrollos de estos programas, y consiguió implementar métodos de infiltración en ellos sin que nadie se diera cuenta, algo muy WTF porque al ser un código disponible para cualquiera, descubrir sus intenciones hubiera sido tan fácil como comprobar el código que subía. Sin embargo, con tantas contribuciones, parece que esto es algo que habitualmente nadie hace. Este software, que puede ser muy variado, es utilizado e integrado en otros paquetes de programa que luego se utilizan en muchas empresas. Por ejemplo, modificó el código de PyPI, npm, o RubyGems; PyPI, un repositorio de código en lenguage Python, un sistema de gestión de paquetes o lo mismo pero para código en Ruby, respectivamente. Todas las empresas tienen dependencias de programas como éstos, y cuando estos programas se actualizan, muchas veces lo hacen de manera automática y sin supervisión. Si hay código nuevo que hace algo malicioso, es muy difícil de detectar. Birsan simplemente incluyó código que permitía comprometer la seguridad de las redes internas de las empresas, como si fuera un virus, sin que nadie se diera cuenta.
No sabemos cuánto dinero le ha dado Apple, pero si sabemos que en total, con las recompensas de todas las empresas, ha recibido más de 130.000 dólares, de los un 40% vienen de Microsoft.
Desde luego, dar con un método interesante aprovechando que todos el mundo aparentemente no comprueba qué código suben los demás, puede ser realmente lucrativo.