GitHub ユーザが平文文の問題で身代金を要求される
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
最近のGitHubリポジトリへの攻撃は、セキュリティ業界でよく知られている問題を浮き彫りにしました。それは、ほとんどの開発者がセキュリティを十分に認識しておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
%20(1).avif)
.avif)
