GitHub用户因纯文本疼痛而被勒索赎金
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
安全代码培训主题和内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
资源
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
