Lorsqu'il y a un trou de sécurité dans un système, un pirate a trois façons de procéder: profitez-en pour votre propre avantage ou pour une cause, trouvez une solution, puis informez-le ou ne faites rien. De nombreuses grandes entreprises ont un programme de récompenses pour ceux qui trouvent des vulnérabilités, tandis que d'autres préfèrent offrir une reconnaissance cordiale, comme c'est le cas de la NASA.
Connu dans des réseaux tels que «7H3H4CKV157», c'est déjà la deuxième fois que vous Hacke NASA pour trouver des vulnérabilités dans ses systèmes et informer l'agence. En reconnaissance de son travail, l'agence lui a envoyé une lettre remerciant ce qu'il a fait signé par Mike Witt, personne âgée dans les informations de la NASA.
La NASA, Google, Apple et X ont piraté
Ce n'est pas la première fois que ce pirate trouve des vulnérabilités pour les grandes entreprises et les agences. Dans son dossier, il y en a comme Google, Apple, X et maintenant la NASA, une agence dans laquelle il est entré plusieurs fois dans ses systèmes.
La précédente a eu lieu en 2022, lorsqu'il a fait un rapport sur une vulnérabilité sur le site Web de la NASA. Ici, il a utilisé la technique des scripts croisés (XSS), une attaque qui permet aux pirates d'exécuter du code malveillant dans le navigateur d'une autre personne.
Comme le pirate l'a rapporté cette année-là, il existe trois variantes de XSS: XSS reflété, XSS stocké et basé sur Dom, chacun avec différentes formes d'attaque et de niveaux de danger. Bien que la sécurité de la NASA devrait être très élevée, l'auteur a constaté qu'elle était vulnérable comme de nombreuses autres organisations.
Profitant de cette technique, il a réalisé que la page de la NASA ne gérait pas correctement les données que les utilisateurs ont introduites (comme dans les formulaires ou les champs de recherche). Au lieu d'un texte normal, un pirate peut envoyer un code malveillant, que le site Web reflète ou stocke. Ensuite, lorsqu'une autre personne visite le site Web, ce code s'exécute dans votre navigateur sans s'en rendre compte. Cela pourrait permettre au pirate de voler des informations, telles que des mots de passe ou des données privées, ou de contrôler le compte de la victime.
Cette fois, le pirate n'a obtenu aucune reconnaissance ou récompense de la NASA, comme il l'a écrit dans son blog. Cependant, pour cette dernière occasion, la NASA a envoyé une lettre signée pour son travail pour améliorer la sécurité de l'agence. Le pirate a publié le test via son compte dans X, bien qu'il n'ait pas encore proposé de détails sur cette nouvelle vulnérabilité.
Le fait que le type de vulnérabilité ne soit pas encore connu récemment dans les systèmes de la NASA n'est pas étrange, car il doit passer du temps avant qu'ils ne s'assurent qu'il est résolu afin que d'autres personnes ne puissent pas profiter du trou de sécurité. Il est possible qu'un jour le pirate écrit quel était le problème de son blog, bien que pour cela, nous devrons attendre.
Une version antérieure de cet article a été publiée en 2024.
