Alex Birsan từng làm kỹ sư Python cho công ty phần mềm an ninh mạng Bitdefender, gần đây anh chủ yếu làm nhà tư vấn bảo mật hoạt động độc lập. Anh sử dụng tấn công chuỗi cung ứng để phát hiện lỗ hổng bảo mật trên hệ thống của Apple, Microsoft, Tesla, Netflix, Paypal, Uber và ít nhất 30 công ty khác.
Về cơ bản, Birsan nhận thấy một số gói mã nội bộ của các công ty lớn vô tình xuất hiện trên các dịch vụ cung cấp kho lưu trữ mã nguồn như Github, có thể vì nhiều lý do, chẳng hạn do "máy chủ nội bộ hoặc máy chủ đám mây bị định cấu hình sai" hay "các giai đoạn phát triển dễ bị tấn công một cách có hệ thống".
Theo BleepingComputer, tin tặc có thể đăng mã độc lên kho nguồn mở như GitHub. Đôi khi những công cụ tự động do các công ty sử dụng sẽ nhầm lẫn gói mã công khai với gói mã nội bộ nếu cả hai trùng tên. Thế nên Alex Birsan đã thử tạo ra những gói mã để xem chúng có bị tải xuống hệ thống của các công ty lớn hay không.
Tình trạng như vậy đã xảy ra với PayPal. Công ty này thừa nhận hệ thống tự động tải xuống các gói mã của Birsan và liên hệ cảm ơn anh. Bên cạnh đó cũng có công ty bảo mật Sonatype nhanh chóng nhận ra và cho rằng những gói mã của Birsan là mã độc, khiến anh phải liên hệ với công ty để trình bày về nghiên cứu mình đang thực hiện.
Alex Birsan phát hiện những lỗ hổng như vậy trên hệ thống của hơn 35 tổ chức, trên cả ba ngôn ngữ lập trình. Tuy nhiên Birsan khuyến cáo các hacker không nên hành động bốc đồng, phải đảm bảo các công ty mình định "tấn công" cho phép người ngoài kiểm tra hệ thống bảo mật thông qua chương trình săn lỗi nhận thưởng. Chính vì thế nên anh được thưởng hàng trăm nghìn USD - đây là khoản phí mà các công ty trả cho những hacker "mũ trắng" khi kiểm tra thành công hệ thống của họ.
Theo anh Birsan, đa số những công ty dính lỗ hổng này đều có quy mô lớn với hơn 1.000 nhân viên - Ảnh chụp màn hình
