ハードコードされた認証情報はセキュリティリスクを招く可能性があります
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
ハードコーディングされた認証情報やソーシャルエンジニアリングに関連するリスクについて、Uber の最近のセキュリティインシデントや、組織が左にシフトして開発者が安全なコーディングのベストプラクティスを常に把握しておくことがなぜそれほど重要なのかを説明しているので、詳細をご覧ください。
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
로라 베르헤이데는 Secure Code Warrior의 소프트웨어 개발자로, 미션 랩과 코딩 랩을 위한 취약점 조사 및 콘텐츠 제작에 주력하고 있습니다.
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
로라 베르헤이데는 Secure Code Warrior의 소프트웨어 개발자로, 미션 랩과 코딩 랩을 위한 취약점 조사 및 콘텐츠 제작에 주력하고 있습니다.
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
%20(1).avif)
.avif)
