GitHub 사용자 일반 텍스트 통증몸값에 개최
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금:
GitHub 리포지토리에 대한 최근의 공격은 보안 업계 내에서 잘 알려진 문제를 강조합니다: 대부분의 개발자는 단순히 충분히 보안을 인식하지 못하며 귀중한 데이터는 언제든지 위험에 처할 수 있습니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금:
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금:
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금: