Les informations d'identification codées en dur peuvent présenter des risques de sécurité
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Apprenez-en davantage sur les risques associés aux informations d'identification codées en dur et à l'ingénierie sociale en discutant du récent incident de sécurité d'Uber et des raisons pour lesquelles il est si important pour les entreprises de tourner à gauche et de s'assurer que leurs développeurs sont au courant des meilleures pratiques en matière de codage sécurisé.
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
%20(1).avif)
.avif)
