博客

GitHub用户因纯文本疼痛而被勒索赎金

皮特-丹休
2019年5月9日出版
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。

作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHubBitbucketGitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。

黑客要求提供比特币
图片来源。 哔哩哔哩电脑

与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。

看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。

然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。

为什么我们的密码管理仍然如此糟糕?

人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。

GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。

教育。神奇的药丸?

精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。

敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。

了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。

重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。

想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。

查看资源
查看资源

最近对GitHub存储库的攻击凸显了安全行业内一个众所周知的问题:大多数开发者根本没有足够的安全意识,宝贵的数据随时都可能面临风险。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
2019年5月9日出版

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。

作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHubBitbucketGitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。

黑客要求提供比特币
图片来源。 哔哩哔哩电脑

与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。

看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。

然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。

为什么我们的密码管理仍然如此糟糕?

人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。

GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。

教育。神奇的药丸?

精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。

敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。

了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。

重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。

想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。

作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHubBitbucketGitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。

黑客要求提供比特币
图片来源。 哔哩哔哩电脑

与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。

看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。

然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。

为什么我们的密码管理仍然如此糟糕?

人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。

GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。

教育。神奇的药丸?

精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。

敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。

了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。

重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。

想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
2019年5月9日出版

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。

作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHubBitbucketGitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。

黑客要求提供比特币
图片来源。 哔哩哔哩电脑

与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。

看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。

然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。

为什么我们的密码管理仍然如此糟糕?

人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。

GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。

教育。神奇的药丸?

精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。

敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。

了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。

重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。

想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心