Los usuarios de GitHub son obligados a pedir un rescate con problemas de texto plano

... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:

A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

