GitHub 用户因纯文本痛苦而被勒索赎金
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
시작하는 데 도움이 되는 자료
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 애플리케이션 보안의 힘 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
