Les informations d'identification codées en dur peuvent présenter des risques de sécurité
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Apprenez-en davantage sur les risques associés aux informations d'identification codées en dur et à l'ingénierie sociale en discutant du récent incident de sécurité d'Uber et des raisons pour lesquelles il est si important pour les entreprises de tourner à gauche et de s'assurer que leurs développeurs sont au courant des meilleures pratiques en matière de codage sécurisé.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
목차
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
