Des utilisateurs de GitHub détenus en rançon en raison d'une douleur liée au texte en clair
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
La récente attaque contre les référentiels GitHub met en lumière un problème bien connu dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
목차
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
