システムにセキュリティ ホールがある場合、ハッカーには 3 つの方法があります。個人的な利益または大義のためにそれを利用するか、解決策を見つけて報告するか、単に何もしないかです。多くの大企業は脆弱性を発見した人に報奨プログラムを設けていますが、NASA のように心から表彰することを好む企業もあります。
オンラインでは「7h3h4ckv157」として知られる彼が、NASAをハッキングしてシステムの脆弱性を発見し、NASAに報告したのはこれで2度目となる。彼の功績を讃え、NASA は、NASA の上級情報セキュリティ責任者であるマイク・ウィットの署名入りで、彼の功績に感謝する手紙を彼に送った。
NASA、Google、Apple、X がハッキングされた
このハッカーが大企業や政府機関の脆弱性を発見したのはこれが初めてではない。彼の実績には、Google、Apple、X などが含まれ、現在は NASA のシステムに何度も侵入しています。
前回は 2022 年に発生し、NASA の Web サイトで脆弱性について報告しました。ここで彼は、ハッカーが他人のブラウザで悪意のあるコードを実行できるようにする攻撃であるクロスサイト スクリプティング (XSS) 技術を使用しました。
同年のハッカーの報告によると、XSS には反射型 XSS、保存型 XSS、DOM ベースの 3 つの亜種があり、それぞれ攻撃の形式と危険性のレベルが異なります。 NASA のセキュリティは非常に高いことが期待されますが、著者は他の多くの組織と同様に脆弱であることに気づきました。
この手法を利用して、NASA ページがユーザーが入力したデータ (フォームや検索フィールドなど) を正しく処理していないことに気付きました。ハッカーは通常のテキストの代わりに悪意のあるコードを送信し、Web ページに反映または保存する可能性があります。その後、他の人が Web サイトにアクセスすると、気付かないうちにそのコードがブラウザで実行されます。これにより、ハッカーがパスワードや個人データなどの情報を盗んだり、被害者のアカウントを制御したりする可能性があります。
彼がブログに書いたように、その時、ハッカーはNASAから何の表彰も報酬も受け取らなかった。しかし、この最後の機会に、 NASA は、NASA の安全性を向上させるための彼の取り組みに感謝する署名入りの手紙を彼に送りました。ハッカーは自分の X アカウントを通じてテストを公開しましたが、この新しい脆弱性に関する詳細はまだ提供していません。
NASA システムで最近発見された脆弱性の種類がまだ知られていないことは、不思議ではありません。他の人がセキュリティ ホールを利用できないように、NASA が確実に解決するまでには時間がかかるはずだからです。いつかハッカーが問題の内容をブログに書く可能性がありますが、それを待つ必要があります。