GitHub 사용자는 일반 텍스트 문제를 겪으며 몸값을 지불해야 했습니다.
... 제3자가 저장소 액세스 권한을 가진 사용자 중 한 명의 올바른 사용자 이름과 암호를 사용하여 저장소에 액세스했습니다.다른 git 호스팅 서비스도 비슷한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터 침해 가능성에 대한 이메일을 받는 것은 결코 좋은 경험이 아닙니다.이제 데이터가 사용자의 노고를 나타내는 코드 저장소이거나 소프트웨어의 영업 비밀이라고 상상해 보십시오. 적어도 392 (지금까지) 깃허브, 비트버킷 과 깃랩 사용자들은 이번 주에 심장이 멎을 정도로 놀라운 알림을 받았습니다. 게다가 공격자가 코드를 다운로드해서 저장소에서 삭제했습니다. 몸값을 요구함.영향을 받은 사용자 파일이 모두 사라지면 다음 메시지가 포함된 텍스트 파일 하나만 남습니다.
대부분의 다른 뉴스 가치가 있는 회사 침해와 달리 (심지어 이전 공격 GitHub에서) 이것은 플랫폼의 버그로 인한 것이 아닙니다.오히려 계정 정보가 일반 텍스트로 안전하지 않게 저장되어 타사 저장소 관리 서비스에서 유출되었을 가능성이 큽니다.개발자들은 중요한 암호를 잘못 저장하는 경우가 많았고, 가치가 높은 계정 여러 개에 동일한 자격 증명을 재사용하는 경우가 많았습니다.
사기꾼은 프로그래밍 세계에서 최고이자 똑똑하지 않은 것으로 보입니다. (글을 쓰는 시점에서) 코드를 복구하기 위해 몸값을 지불한 사용자는 한 명도 없었고, 보안을 염두에 둔 일부 영리한 사람들은 이미 영향을 받은 사용자가 다음과 같은 해결 방법을 찾았기 때문입니다. 삭제된 코드 복구.
하지만 이는 보안 업계에서 오랫동안 우리가 알고 있었던 문제를 부각시키고 있습니다. 대부분의 개발자는 단순히 보안에 대해 충분히 인식하지 못하고 있으며 해킹에 능숙하지 않은 개발자라도 중요한 데이터가 언제든지 위험에 처할 수 있다는 것입니다.
비밀번호 관리가 여전히 부실한 이유는 무엇일까요?
물론 인간에게는 결함이 있으며 우리는 자신의 삶을 더 편하게 만들고 싶어하는 경향이 있습니다.같은 사용자 이름과 암호를 반복해서 재사용하는 것이 훨씬 번거롭지 않고, 첫 강아지의 이름을 기억하는 것이 “Z7B3#! q0HWxxv29!”를 입력하는 것보다 훨씬 쉽습니다.그냥 이메일에 접속하기 위해서요하지만 수많은 대규모 사이버 공격이 지속적으로 발생하고 있기 때문에 지금쯤이면 개발자들이 더 잘 알고 있을 것입니다.
깃허브 자신의 조언 2단계 인증이 적용되고 보안 암호 관리자가 사용되었다면 이러한 랜섬 공격이 발생하지 않았을 것이라고 평가한 것은 간단했습니다.물론 맞는 말이긴 하지만, 계속 말씀드리자면, 교육이 더 나아가야 한다는 것은 분명합니다.모든 개발자는 특정 행위로 인해 계정이 공격에 취약해질 수 있는 이유를 근본적인 수준에서 이해해야 합니다.
교육: 마법의 약?
보안에 정통한 코더는 간단한 것을 이해합니다. 보안 구성 오류 치명적인 결과를 초래할 수 있으며, 이번 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적인 스키머를 성공적으로 주입하여 성의 키를 추적하는 데 중요한 역할을 한 것으로 보입니다.
민감한 데이터 노출 극복해야 할 중요한 취약점이기도 하며, 여전히 OWASP Top 10에서 3위를 차지하고 있습니다.암호를 일반 텍스트로 저장하는 것은 많은 사람들이 암호를 일반 텍스트로 저장하는 것의 위험성과 무차별 암호 공격을 통해 시스템이 얼마나 쉽게 침해될 수 있는지를 이해하지 못한다는 명백한 증거입니다.
암호화 (특히 암호화 스토리지) 에 대한 이해는 철저한 보안을 사용하여 코드 기반의 암호를 관리하는 데 필수적인 요소입니다.저장된 암호를 성공적으로 솔팅 및 해싱하여 고유성을 강화하면 이러한 랜섬 사건과 같은 상황이 발생하기가 훨씬 더 어려워집니다.
개발자를 위한 적절한 교육과 사이버 위협 위험을 심각하게 받아들이는 데 더 중점을 두고 보안에 대한 우리의 집단적 태도를 바꿔야 한다는 점을 이해하는 것이 중요합니다.우리는 보안에 대해 배우는 것이 긍정적이고 보람 있는 경험으로 만들어야 합니다. 이것이 모든 개발자가 자신의 작업을 스스로 평가할 수 있도록 표준을 전반적으로 높이는 데 기본이 될 것이라고 생각합니다.
여기에서 읽은 취약점을 해결해 보고 싶으신가요?에서 관련 챌린지를 플레이할 수 있습니다. 시큐어 코드 워리어 바로 지금:
GitHub 리포지토리에 대한 최근의 공격은 보안 업계에서 잘 알려진 문제를 부각시키고 있습니다. 대부분의 개발자는 단순히 보안을 충분히 인식하지 못하고 귀중한 데이터가 언제든지 위험에 처할 수 있다는 것입니다.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 제3자가 저장소 액세스 권한을 가진 사용자 중 한 명의 올바른 사용자 이름과 암호를 사용하여 저장소에 액세스했습니다.다른 git 호스팅 서비스도 비슷한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터 침해 가능성에 대한 이메일을 받는 것은 결코 좋은 경험이 아닙니다.이제 데이터가 사용자의 노고를 나타내는 코드 저장소이거나 소프트웨어의 영업 비밀이라고 상상해 보십시오. 적어도 392 (지금까지) 깃허브, 비트버킷 과 깃랩 사용자들은 이번 주에 심장이 멎을 정도로 놀라운 알림을 받았습니다. 게다가 공격자가 코드를 다운로드해서 저장소에서 삭제했습니다. 몸값을 요구함.영향을 받은 사용자 파일이 모두 사라지면 다음 메시지가 포함된 텍스트 파일 하나만 남습니다.
대부분의 다른 뉴스 가치가 있는 회사 침해와 달리 (심지어 이전 공격 GitHub에서) 이것은 플랫폼의 버그로 인한 것이 아닙니다.오히려 계정 정보가 일반 텍스트로 안전하지 않게 저장되어 타사 저장소 관리 서비스에서 유출되었을 가능성이 큽니다.개발자들은 중요한 암호를 잘못 저장하는 경우가 많았고, 가치가 높은 계정 여러 개에 동일한 자격 증명을 재사용하는 경우가 많았습니다.
사기꾼은 프로그래밍 세계에서 최고이자 똑똑하지 않은 것으로 보입니다. (글을 쓰는 시점에서) 코드를 복구하기 위해 몸값을 지불한 사용자는 한 명도 없었고, 보안을 염두에 둔 일부 영리한 사람들은 이미 영향을 받은 사용자가 다음과 같은 해결 방법을 찾았기 때문입니다. 삭제된 코드 복구.
하지만 이는 보안 업계에서 오랫동안 우리가 알고 있었던 문제를 부각시키고 있습니다. 대부분의 개발자는 단순히 보안에 대해 충분히 인식하지 못하고 있으며 해킹에 능숙하지 않은 개발자라도 중요한 데이터가 언제든지 위험에 처할 수 있다는 것입니다.
비밀번호 관리가 여전히 부실한 이유는 무엇일까요?
물론 인간에게는 결함이 있으며 우리는 자신의 삶을 더 편하게 만들고 싶어하는 경향이 있습니다.같은 사용자 이름과 암호를 반복해서 재사용하는 것이 훨씬 번거롭지 않고, 첫 강아지의 이름을 기억하는 것이 “Z7B3#! q0HWxxv29!”를 입력하는 것보다 훨씬 쉽습니다.그냥 이메일에 접속하기 위해서요하지만 수많은 대규모 사이버 공격이 지속적으로 발생하고 있기 때문에 지금쯤이면 개발자들이 더 잘 알고 있을 것입니다.
깃허브 자신의 조언 2단계 인증이 적용되고 보안 암호 관리자가 사용되었다면 이러한 랜섬 공격이 발생하지 않았을 것이라고 평가한 것은 간단했습니다.물론 맞는 말이긴 하지만, 계속 말씀드리자면, 교육이 더 나아가야 한다는 것은 분명합니다.모든 개발자는 특정 행위로 인해 계정이 공격에 취약해질 수 있는 이유를 근본적인 수준에서 이해해야 합니다.
교육: 마법의 약?
보안에 정통한 코더는 간단한 것을 이해합니다. 보안 구성 오류 치명적인 결과를 초래할 수 있으며, 이번 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적인 스키머를 성공적으로 주입하여 성의 키를 추적하는 데 중요한 역할을 한 것으로 보입니다.
민감한 데이터 노출 극복해야 할 중요한 취약점이기도 하며, 여전히 OWASP Top 10에서 3위를 차지하고 있습니다.암호를 일반 텍스트로 저장하는 것은 많은 사람들이 암호를 일반 텍스트로 저장하는 것의 위험성과 무차별 암호 공격을 통해 시스템이 얼마나 쉽게 침해될 수 있는지를 이해하지 못한다는 명백한 증거입니다.
암호화 (특히 암호화 스토리지) 에 대한 이해는 철저한 보안을 사용하여 코드 기반의 암호를 관리하는 데 필수적인 요소입니다.저장된 암호를 성공적으로 솔팅 및 해싱하여 고유성을 강화하면 이러한 랜섬 사건과 같은 상황이 발생하기가 훨씬 더 어려워집니다.
개발자를 위한 적절한 교육과 사이버 위협 위험을 심각하게 받아들이는 데 더 중점을 두고 보안에 대한 우리의 집단적 태도를 바꿔야 한다는 점을 이해하는 것이 중요합니다.우리는 보안에 대해 배우는 것이 긍정적이고 보람 있는 경험으로 만들어야 합니다. 이것이 모든 개발자가 자신의 작업을 스스로 평가할 수 있도록 표준을 전반적으로 높이는 데 기본이 될 것이라고 생각합니다.
여기에서 읽은 취약점을 해결해 보고 싶으신가요?에서 관련 챌린지를 플레이할 수 있습니다. 시큐어 코드 워리어 바로 지금:
... 제3자가 저장소 액세스 권한을 가진 사용자 중 한 명의 올바른 사용자 이름과 암호를 사용하여 저장소에 액세스했습니다.다른 git 호스팅 서비스도 비슷한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터 침해 가능성에 대한 이메일을 받는 것은 결코 좋은 경험이 아닙니다.이제 데이터가 사용자의 노고를 나타내는 코드 저장소이거나 소프트웨어의 영업 비밀이라고 상상해 보십시오. 적어도 392 (지금까지) 깃허브, 비트버킷 과 깃랩 사용자들은 이번 주에 심장이 멎을 정도로 놀라운 알림을 받았습니다. 게다가 공격자가 코드를 다운로드해서 저장소에서 삭제했습니다. 몸값을 요구함.영향을 받은 사용자 파일이 모두 사라지면 다음 메시지가 포함된 텍스트 파일 하나만 남습니다.
대부분의 다른 뉴스 가치가 있는 회사 침해와 달리 (심지어 이전 공격 GitHub에서) 이것은 플랫폼의 버그로 인한 것이 아닙니다.오히려 계정 정보가 일반 텍스트로 안전하지 않게 저장되어 타사 저장소 관리 서비스에서 유출되었을 가능성이 큽니다.개발자들은 중요한 암호를 잘못 저장하는 경우가 많았고, 가치가 높은 계정 여러 개에 동일한 자격 증명을 재사용하는 경우가 많았습니다.
사기꾼은 프로그래밍 세계에서 최고이자 똑똑하지 않은 것으로 보입니다. (글을 쓰는 시점에서) 코드를 복구하기 위해 몸값을 지불한 사용자는 한 명도 없었고, 보안을 염두에 둔 일부 영리한 사람들은 이미 영향을 받은 사용자가 다음과 같은 해결 방법을 찾았기 때문입니다. 삭제된 코드 복구.
하지만 이는 보안 업계에서 오랫동안 우리가 알고 있었던 문제를 부각시키고 있습니다. 대부분의 개발자는 단순히 보안에 대해 충분히 인식하지 못하고 있으며 해킹에 능숙하지 않은 개발자라도 중요한 데이터가 언제든지 위험에 처할 수 있다는 것입니다.
비밀번호 관리가 여전히 부실한 이유는 무엇일까요?
물론 인간에게는 결함이 있으며 우리는 자신의 삶을 더 편하게 만들고 싶어하는 경향이 있습니다.같은 사용자 이름과 암호를 반복해서 재사용하는 것이 훨씬 번거롭지 않고, 첫 강아지의 이름을 기억하는 것이 “Z7B3#! q0HWxxv29!”를 입력하는 것보다 훨씬 쉽습니다.그냥 이메일에 접속하기 위해서요하지만 수많은 대규모 사이버 공격이 지속적으로 발생하고 있기 때문에 지금쯤이면 개발자들이 더 잘 알고 있을 것입니다.
깃허브 자신의 조언 2단계 인증이 적용되고 보안 암호 관리자가 사용되었다면 이러한 랜섬 공격이 발생하지 않았을 것이라고 평가한 것은 간단했습니다.물론 맞는 말이긴 하지만, 계속 말씀드리자면, 교육이 더 나아가야 한다는 것은 분명합니다.모든 개발자는 특정 행위로 인해 계정이 공격에 취약해질 수 있는 이유를 근본적인 수준에서 이해해야 합니다.
교육: 마법의 약?
보안에 정통한 코더는 간단한 것을 이해합니다. 보안 구성 오류 치명적인 결과를 초래할 수 있으며, 이번 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적인 스키머를 성공적으로 주입하여 성의 키를 추적하는 데 중요한 역할을 한 것으로 보입니다.
민감한 데이터 노출 극복해야 할 중요한 취약점이기도 하며, 여전히 OWASP Top 10에서 3위를 차지하고 있습니다.암호를 일반 텍스트로 저장하는 것은 많은 사람들이 암호를 일반 텍스트로 저장하는 것의 위험성과 무차별 암호 공격을 통해 시스템이 얼마나 쉽게 침해될 수 있는지를 이해하지 못한다는 명백한 증거입니다.
암호화 (특히 암호화 스토리지) 에 대한 이해는 철저한 보안을 사용하여 코드 기반의 암호를 관리하는 데 필수적인 요소입니다.저장된 암호를 성공적으로 솔팅 및 해싱하여 고유성을 강화하면 이러한 랜섬 사건과 같은 상황이 발생하기가 훨씬 더 어려워집니다.
개발자를 위한 적절한 교육과 사이버 위협 위험을 심각하게 받아들이는 데 더 중점을 두고 보안에 대한 우리의 집단적 태도를 바꿔야 한다는 점을 이해하는 것이 중요합니다.우리는 보안에 대해 배우는 것이 긍정적이고 보람 있는 경험으로 만들어야 합니다. 이것이 모든 개발자가 자신의 작업을 스스로 평가할 수 있도록 표준을 전반적으로 높이는 데 기본이 될 것이라고 생각합니다.
여기에서 읽은 취약점을 해결해 보고 싶으신가요?에서 관련 챌린지를 플레이할 수 있습니다. 시큐어 코드 워리어 바로 지금:
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 제3자가 저장소 액세스 권한을 가진 사용자 중 한 명의 올바른 사용자 이름과 암호를 사용하여 저장소에 액세스했습니다.다른 git 호스팅 서비스도 비슷한 공격을 받고 있기 때문에 이러한 자격 증명이 다른 서비스를 통해 유출되었을 수 있다고 생각합니다.
웹 기반 서비스의 사용자로서 개인 데이터 침해 가능성에 대한 이메일을 받는 것은 결코 좋은 경험이 아닙니다.이제 데이터가 사용자의 노고를 나타내는 코드 저장소이거나 소프트웨어의 영업 비밀이라고 상상해 보십시오. 적어도 392 (지금까지) 깃허브, 비트버킷 과 깃랩 사용자들은 이번 주에 심장이 멎을 정도로 놀라운 알림을 받았습니다. 게다가 공격자가 코드를 다운로드해서 저장소에서 삭제했습니다. 몸값을 요구함.영향을 받은 사용자 파일이 모두 사라지면 다음 메시지가 포함된 텍스트 파일 하나만 남습니다.
대부분의 다른 뉴스 가치가 있는 회사 침해와 달리 (심지어 이전 공격 GitHub에서) 이것은 플랫폼의 버그로 인한 것이 아닙니다.오히려 계정 정보가 일반 텍스트로 안전하지 않게 저장되어 타사 저장소 관리 서비스에서 유출되었을 가능성이 큽니다.개발자들은 중요한 암호를 잘못 저장하는 경우가 많았고, 가치가 높은 계정 여러 개에 동일한 자격 증명을 재사용하는 경우가 많았습니다.
사기꾼은 프로그래밍 세계에서 최고이자 똑똑하지 않은 것으로 보입니다. (글을 쓰는 시점에서) 코드를 복구하기 위해 몸값을 지불한 사용자는 한 명도 없었고, 보안을 염두에 둔 일부 영리한 사람들은 이미 영향을 받은 사용자가 다음과 같은 해결 방법을 찾았기 때문입니다. 삭제된 코드 복구.
하지만 이는 보안 업계에서 오랫동안 우리가 알고 있었던 문제를 부각시키고 있습니다. 대부분의 개발자는 단순히 보안에 대해 충분히 인식하지 못하고 있으며 해킹에 능숙하지 않은 개발자라도 중요한 데이터가 언제든지 위험에 처할 수 있다는 것입니다.
비밀번호 관리가 여전히 부실한 이유는 무엇일까요?
물론 인간에게는 결함이 있으며 우리는 자신의 삶을 더 편하게 만들고 싶어하는 경향이 있습니다.같은 사용자 이름과 암호를 반복해서 재사용하는 것이 훨씬 번거롭지 않고, 첫 강아지의 이름을 기억하는 것이 “Z7B3#! q0HWxxv29!”를 입력하는 것보다 훨씬 쉽습니다.그냥 이메일에 접속하기 위해서요하지만 수많은 대규모 사이버 공격이 지속적으로 발생하고 있기 때문에 지금쯤이면 개발자들이 더 잘 알고 있을 것입니다.
깃허브 자신의 조언 2단계 인증이 적용되고 보안 암호 관리자가 사용되었다면 이러한 랜섬 공격이 발생하지 않았을 것이라고 평가한 것은 간단했습니다.물론 맞는 말이긴 하지만, 계속 말씀드리자면, 교육이 더 나아가야 한다는 것은 분명합니다.모든 개발자는 특정 행위로 인해 계정이 공격에 취약해질 수 있는 이유를 근본적인 수준에서 이해해야 합니다.
교육: 마법의 약?
보안에 정통한 코더는 간단한 것을 이해합니다. 보안 구성 오류 치명적인 결과를 초래할 수 있으며, 이번 GitHub 공격의 경우 잘못 구성된 파일이 공격자가 악의적인 스키머를 성공적으로 주입하여 성의 키를 추적하는 데 중요한 역할을 한 것으로 보입니다.
민감한 데이터 노출 극복해야 할 중요한 취약점이기도 하며, 여전히 OWASP Top 10에서 3위를 차지하고 있습니다.암호를 일반 텍스트로 저장하는 것은 많은 사람들이 암호를 일반 텍스트로 저장하는 것의 위험성과 무차별 암호 공격을 통해 시스템이 얼마나 쉽게 침해될 수 있는지를 이해하지 못한다는 명백한 증거입니다.
암호화 (특히 암호화 스토리지) 에 대한 이해는 철저한 보안을 사용하여 코드 기반의 암호를 관리하는 데 필수적인 요소입니다.저장된 암호를 성공적으로 솔팅 및 해싱하여 고유성을 강화하면 이러한 랜섬 사건과 같은 상황이 발생하기가 훨씬 더 어려워집니다.
개발자를 위한 적절한 교육과 사이버 위협 위험을 심각하게 받아들이는 데 더 중점을 두고 보안에 대한 우리의 집단적 태도를 바꿔야 한다는 점을 이해하는 것이 중요합니다.우리는 보안에 대해 배우는 것이 긍정적이고 보람 있는 경험으로 만들어야 합니다. 이것이 모든 개발자가 자신의 작업을 스스로 평가할 수 있도록 표준을 전반적으로 높이는 데 기본이 될 것이라고 생각합니다.
여기에서 읽은 취약점을 해결해 보고 싶으신가요?에서 관련 챌린지를 플레이할 수 있습니다. 시큐어 코드 워리어 바로 지금:
%20(1).avif)
.avif)
