GitHub用户因纯文本疼痛而被勒索赎金
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
GitHub用户因纯文本疼痛而被勒索赎金
... 第三方通过使用正确的用户名和密码来访问你的版本库,而这些用户名和密码是有权限访问你的版本库的用户之一。我们相信这些凭证可能是通过其他服务泄露的,因为其他git托管服务也遇到了类似的攻击。
作为一个基于网络的服务的用户,收到这样一封关于你的个人数据可能被泄露的邮件,绝对不是一个好的体验。现在,想象一下,这些数据是代表你辛勤工作的代码库,甚至是你软件的商业机密。本周至少有392名(到目前为止)GitHub、Bitbucket和GitLab用户收到了这种令人心惊肉跳的通知,更重要的是--他们的代码已经被攻击者下载,从存储库中抹去并被勒索赎金。一旦受影响的用户的文件全部消失,只剩下一个包含这个信息的文本文件。
与其他大多数有新闻价值的公司违规事件(甚至是以前对GitHub的攻击)不同,这一次并不是由他们平台上的一个错误引起。相反,账户信息被不安全地以明文形式存储,并可能从第三方存储库管理服务中泄露出来。开发人员主动错误地存储了重要的密码,并经常为多个高价值账户重复使用相同的凭证。
看来这些骗子并不是编程界最好的和最聪明的人,因为(在写这篇文章的时候)没有一个用户支付赎金来恢复他们的代码,一些聪明的有安全意识的人已经为受影响的用户找到了恢复被删除代码的变通方法。
然而,这确实突出了我们在安全行业内长期以来一直知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据可能随时面临风险......即使是那些不是黑客天才的人。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于想让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码当然要省事得多,记住你第一只小狗的名字也比输入 "Z7b3#!q0HwXxv29!"来访问你的电子邮件容易得多。然而,随着这么多大规模的网络攻击不断发生,开发人员现在真的应该知道得更多。
GitHub自己对此事的建议很直截了当,它评估说,如果双因素认证到位,并且使用了安全的密码管理器,就不会发生这次赎金攻击。这是绝对正确的,但正如我一直所说的--很明显,教育必须更进一步。所有的开发人员都需要从根本上理解为什么某些行为会使他们的账户容易受到攻击。
教育。神奇的药丸?
精通安全的编码员明白,一个简单的安全错误配置可以产生破坏性的后果,在这次GitHub攻击中,似乎错误配置的文件在允许攻击者成功注入恶意盗取者以猎取其城堡的钥匙方面起到了作用。
敏感数据暴露也是一个需要克服的关键漏洞,在OWASP排名前十的漏洞中仍然位居第三。以明文存储密码是许多人不了解这样做的危险性的明显证据,以及系统可以通过暴力密码攻击轻易被攻破。
了解密码学(尤其是密码存储)是在代码库中使用铁的安全性来管理密码的一个重要组成部分。成功地对任何存储的密码进行加盐和散列处理,强制其具有唯一性,这将使类似这次赎金事件的情况更难发生。
重要的是要明白,我们对安全的集体态度需要改变,要更加重视对开发者的充分教育,认真对待风险网络威胁。我们需要让学习安全知识成为一种积极和有益的体验,我认为这将是每个开发者自我评估其工作的标准全面提升的根本。
想试试打败你在这里读到的漏洞吗?你可以在以下网站玩相关的挑战 Secure Code Warrior现在就可以玩相关的挑战。
