Los usuarios de GitHub son obligados a pedir un rescate con problemas de texto plano
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de relieve un problema muy conocido en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos podrían estar en riesgo en cualquier momento.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
%20(1).avif)
.avif)
