GitHub 사용자 일반 텍스트 통증몸값에 개최
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금:
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
GitHub 사용자 일반 텍스트 통증몸값에 개최
... 제3자에서 리포지토리에 액세스할 수 있는 권한이 있는 사용자 중 한 명의 경우 올바른 사용자 이름과 암호를 사용하여 리포지토리에 액세스했습니다. 다른 git 호스팅 서비스가 유사한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터의 잠재적 침해에 대한 이메일을 받는 것은 결코 좋은 경험이 없습니다. 이제 데이터가 당신의 노력이나 소프트웨어의 영업 비밀을 나타내는 코드 리포지토리라고 상상해보십시오. 적어도 392 (지금까지) GitHub, 비트 버킷과 GitLab 사용자는 이번 주에 그 심장 정지 알림을받은, 그리고 더 많은 - 그들의 코드는 공격자에 의해 다운로드되었습니다, 리포지토리에서 닦아 몸값을 개최. 영향을 받는 사용자의 파일이 모두 사라지면 이 메시지가 포함된 텍스트 파일 은 하나뿐입니다.
대부분의 다른 뉴스 가치가 있는 회사 위반(그리고 GitHub에 대한 이전 공격과 달리)과는 달리 이 위반은 플랫폼에서 버그로 인한 것이 아닙니다. 오히려 계정 정보는 일반 텍스트에 안전하지 않게 저장되었으며 타사 리포지토리 관리 서비스에서 유출되었을 가능성이 큽분입니다. 개발자는 중요한 암호를 잘못 저장하고 여러 고부가가치 계정에 대해 동일한 자격 증명을 재사용하는 경우가 많았습니다.
그것은 사기가 프로그래밍 세계의 최고와 밝은 되지 않습니다 나타납니다., (쓰기의 시간에) 단일 사용자가 그들의 코드를 복구 하기 위해 몸값을 지불 했다, 그리고 일부 영리한 보안 지향 사람들 이미 삭제 된 코드를 복구하는 영향을 받는 사용자에 대 한 해결 방법을 발견 했다.
여전히, 이것은 우리가 보안 업계에서 오랫동안 알고 있는 문제를 강조 않습니다: 대부분의 개발자는 단순히 충분히 보안 인식 되지 않습니다., 그리고 중요 한 데이터는 언제 든 지 위험에 있을 수 있습니다... 심지어 천재를 해킹하지 않는 사람들에 의해.
왜 암호 관리가 여전히 그렇게 가난합니까?
인간은 물론 결함이 있으며, 우리는 스스로 삶을 더 쉽게 만들고 싶어하는 경향이 있습니다. 그것은 확실히 훨씬 덜 번거 로움은 반복해서 동일한 사용자 이름과 암호를 다시 사용 하 여, 그리고 첫 번째 강아지의 이름을 기억 하는 것은 입력 보다 훨씬 쉽게 "Z7b3#!q0HwXxv29!' 이메일에 액세스하기만 하면 됩니다. 그러나 대규모 사이버 공격이 지속적으로 이루어지고 있는 개발자들은 지금까지 더 잘 알고 있어야 합니다.
이 문제에 대한 GitHub의 자체 조언은 2 단계 인증이 마련되어 있고 보안 암호 관리자가 사용중이라면 이 몸값 공격이 일어나지 않았을 것이라고 평가하면서 간단했습니다. 이것은 절대적으로 사실이지만, 내가 계속 말했듯이 - 교육이 더 나아가야한다는 것은 분명합니다. 모든 개발자는 근본적인 수준에서 특정 행동이 계정에 공격에 취약해질 수 있는 이유를 이해해야 합니다.
교육: 마법의 알약?
보안에 정통한 코더는 간단한 보안 오구성이 치명적인 결과를 초래할 수 있다는 것을 이해하며,이 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적 인 스키머를 성공적으로 주입하여 성의 열쇠를 사냥할 수 있도록하는 데 중요한 역할을한 것으로 보입니다.
민감한 데이터 노출은 OWASP 상위 10위 안에 여전히 3위를 차지하고 있는 상황에서 극복해야 할 중요한 취약점이기도 합니다. 일반 텍스트에 암호를 저장하는 것은 많은 사람들이 그렇게의 위험을 이해하지 못하고, 무차별 암호 공격을 통해 시스템을 얼마나 쉽게 위반 할 수 있는지의 명확한 증거입니다.
암호화(특히 암호화 저장)를 이해하는 것은 철로 덮인 보안을 사용하여 코드 베이스에서 암호를 관리하는 데 필수적인 구성 요소입니다. 저장된 암호를 성공적으로 소금에 절이고 해시하여 고유성을 강요하면이 몸값 사건과 같은 상황이 훨씬 더 어려워질 것입니다.
보안에 대한 우리의 집단적 태도는 개발자를 위한 적절한 교육을 강조하고 사이버 위협을 심각하게 받아들이는 데 중점을 두고 변화해야 한다는 것을 이해하는 것이 중요합니다. 우리는 보안에 대해 긍정적이고 보람있는 경험을 만들어야하며, 모든 개발자가 자신의 작업을 스스로 평가하는 표준을 전반적으로 높이는 것이 근본적이라고 생각합니다.
여기에서 읽은 취약점을 물리 치고 싶으십니까? 관련 문제를 해결할 수 있습니다. Secure Code Warrior 바로 지금:
