하드 코딩된 자격 증명으로 인해 보안 위험이 발생할 수 있습니다.
Secure Code Warrior 보안 및 개발자 커뮤니티에서 코드를 안전하게 작성하는 방법을 교육하고 안전하지 않은 코드를 통해 도입된 취약성의 위험을 완화하는 데 전념하고 있습니다. 이 목표의 일환으로 우리는 Uber의 최근 보안 사고 에 대한 개발 스토리를 개발자 주도 보안과 좌회전의 중요성에 대해 논의 할 수있는 기회로 활용할 것입니다.
우버의 보안 사고
우버는 9월 16일 사이버 보안 사고에 대한 성명을 발표했으며 계속 업데이트하고 있다. 독자는 이것이 진행중인 이야기라는 것을 명심해야합니다. 지금까지 Uber의 발표와 보안 커뮤니티의 다른 평판 좋은 게시물을 통해 배운 내용을 요약 해 보겠습니다.
해커는 What'sApp 번호를 찾은 후 Uber 직원을 사회적으로 엔지니어링하는 것으로 시작했습니다. 공격자는 그들에게 연락하여 의심하지 않는 직원이 가짜 Uber 사이트에 로그인 한 다음 사용자 이름과 암호를 캡처하여 자격 증명을 피싱하기 시작했습니다.
Uber 계정은 MFA(다단계 인증)를 통해 보호되며, 이는 사용자가 암호를 제출하는 것 외에도 자신의 신원을 확인하는 두 번째 증거를 제시해야 함을 의미합니다. 대부분의 경우 모바일 장치로 전송되는 프롬프트입니다.
자격 증명을 획득한 후 공격자는 계속해서 진짜 Uber 사이트에 로그인을 시도하고 직원의 디바이스에 수많은 푸시 알림을 보내 압도하는 MFA 피로도 공격을 시작했습니다. 이번에도 공격자는 WhatsApp을 통해 피해자에게 연락했습니다. 이번에는 IT 지원팀인 것처럼 사칭하여 수락을 유도하는 데 성공했다고 합니다.
하드 코딩된 자격 증명
Uber 보안 침해의 근간에는 성공적인 피싱 공격이 있었습니다. 침입자는 내부에 침입한 후 PowerShell 스크립트가 포함된 네트워크 공유를 발견했습니다. 이 스크립트 중 하나에는 관리자 사용자의 하드코딩된 자격 증명이 포함되어 있었으며, 이로 인해 AWS, G-Suite, 코드 리포지토리와 같은 Uber 내부 서비스가 손상되었습니다. 해커는 또한 Uber의 HackerOne 계정에도 액세스했습니다. 그러나 Uber에 따르면 "공격자가 액세스할 수 있었던 모든 버그 보고서는 수정되었습니다."
이 취약점이 코드에서 어떻게 보이는지 궁금하신가요? PowerShell 챌린지를 무료로 체험해 보세요.
이러한 유형의 공격은 얼마나 일반적입니까?
공격 벡터로서의 사회 공학은 인간 요소가 항상 사이버 보안의 가장 약한 부분으로 간주되어 왔기 때문에 방어하기가 어렵습니다. Uber 해킹은 MFA 구현을 쉽게 우회 할 수 있음을 명확하게 보여주었습니다. 이를 방지하는 열쇠는 피싱 공격의 작동에 대해 직원들 사이에 더 많은 인식을 창출하는 것입니다.
하지만 Uber의 내부 서비스가 노출된 원인은 PowerShell 스크립트에서 발견된 관리자의 사용자 이름과 비밀번호 때문입니다. 자격 증명을 하드코딩하면 코드에 액세스할 수 있는 모든 개발자와 기본적으로 모든 사람이 읽을 수 있으므로 결코 좋은 일이 아닙니다.
그러나 다시 말하지만, 인식이 핵심입니다! 보안 중심의 사고 방식을 가진 개발자는 취약점을 발견 할 가능성이 높으며 취약점을 작성할 가능성이 적습니다.
사회 공학에 대한 일반 교육, 특히 사전 예방적 보안 코딩 교육에 대한 두 갈래의 접근 방식은 코드 기반의 취약성 수를 줄여 보안 위협과의 싸움에서 중요한 것으로 판명됩니다.
보안 코딩 모범 사례를 최신 상태로 유지하는 방법에 대해 자세히 알고 싶으신가요? 보안 코드 코치를 확인하십시오. 여기에서 보안 코딩 지침을 배우고 무료로 교육 연습을 시험해 볼 수 있습니다.
로라 베르헤이드
Laura Verheyde는 Secure Code Warrior 의 소프트웨어 개발자로서 취약점을 연구하고 Missions 및 코딩 연구소의 콘텐츠를 제작하는 데 주력하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
하드 코딩된 자격 증명으로 인해 보안 위험이 발생할 수 있습니다.
Secure Code Warrior 보안 및 개발자 커뮤니티에서 코드를 안전하게 작성하는 방법을 교육하고 안전하지 않은 코드를 통해 도입된 취약성의 위험을 완화하는 데 전념하고 있습니다. 이 목표의 일환으로 우리는 Uber의 최근 보안 사고 에 대한 개발 스토리를 개발자 주도 보안과 좌회전의 중요성에 대해 논의 할 수있는 기회로 활용할 것입니다.
우버의 보안 사고
우버는 9월 16일 사이버 보안 사고에 대한 성명을 발표했으며 계속 업데이트하고 있다. 독자는 이것이 진행중인 이야기라는 것을 명심해야합니다. 지금까지 Uber의 발표와 보안 커뮤니티의 다른 평판 좋은 게시물을 통해 배운 내용을 요약 해 보겠습니다.
해커는 What'sApp 번호를 찾은 후 Uber 직원을 사회적으로 엔지니어링하는 것으로 시작했습니다. 공격자는 그들에게 연락하여 의심하지 않는 직원이 가짜 Uber 사이트에 로그인 한 다음 사용자 이름과 암호를 캡처하여 자격 증명을 피싱하기 시작했습니다.
Uber 계정은 MFA(다단계 인증)를 통해 보호되며, 이는 사용자가 암호를 제출하는 것 외에도 자신의 신원을 확인하는 두 번째 증거를 제시해야 함을 의미합니다. 대부분의 경우 모바일 장치로 전송되는 프롬프트입니다.
자격 증명을 획득한 후 공격자는 계속해서 진짜 Uber 사이트에 로그인을 시도하고 직원의 디바이스에 수많은 푸시 알림을 보내 압도하는 MFA 피로도 공격을 시작했습니다. 이번에도 공격자는 WhatsApp을 통해 피해자에게 연락했습니다. 이번에는 IT 지원팀인 것처럼 사칭하여 수락을 유도하는 데 성공했다고 합니다.
하드 코딩된 자격 증명
Uber 보안 침해의 근간에는 성공적인 피싱 공격이 있었습니다. 침입자는 내부에 침입한 후 PowerShell 스크립트가 포함된 네트워크 공유를 발견했습니다. 이 스크립트 중 하나에는 관리자 사용자의 하드코딩된 자격 증명이 포함되어 있었으며, 이로 인해 AWS, G-Suite, 코드 리포지토리와 같은 Uber 내부 서비스가 손상되었습니다. 해커는 또한 Uber의 HackerOne 계정에도 액세스했습니다. 그러나 Uber에 따르면 "공격자가 액세스할 수 있었던 모든 버그 보고서는 수정되었습니다."
이 취약점이 코드에서 어떻게 보이는지 궁금하신가요? PowerShell 챌린지를 무료로 체험해 보세요.
이러한 유형의 공격은 얼마나 일반적입니까?
공격 벡터로서의 사회 공학은 인간 요소가 항상 사이버 보안의 가장 약한 부분으로 간주되어 왔기 때문에 방어하기가 어렵습니다. Uber 해킹은 MFA 구현을 쉽게 우회 할 수 있음을 명확하게 보여주었습니다. 이를 방지하는 열쇠는 피싱 공격의 작동에 대해 직원들 사이에 더 많은 인식을 창출하는 것입니다.
하지만 Uber의 내부 서비스가 노출된 원인은 PowerShell 스크립트에서 발견된 관리자의 사용자 이름과 비밀번호 때문입니다. 자격 증명을 하드코딩하면 코드에 액세스할 수 있는 모든 개발자와 기본적으로 모든 사람이 읽을 수 있으므로 결코 좋은 일이 아닙니다.
그러나 다시 말하지만, 인식이 핵심입니다! 보안 중심의 사고 방식을 가진 개발자는 취약점을 발견 할 가능성이 높으며 취약점을 작성할 가능성이 적습니다.
사회 공학에 대한 일반 교육, 특히 사전 예방적 보안 코딩 교육에 대한 두 갈래의 접근 방식은 코드 기반의 취약성 수를 줄여 보안 위협과의 싸움에서 중요한 것으로 판명됩니다.
