Les informations d'identification codées en dur peuvent présenter des risques de sécurité
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Apprenez-en davantage sur les risques associés aux informations d'identification codées en dur et à l'ingénierie sociale en discutant du récent incident de sécurité d'Uber et des raisons pour lesquelles il est si important pour les entreprises de tourner à gauche et de s'assurer que leurs développeurs sont au courant des meilleures pratiques en matière de codage sécurisé.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démo
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Afficher le rapportRéservez une démo
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Table des matières
Secure Code Warrior est là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démoTéléchargerRessources pour vous aider à démarrer
Sujets et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions d'IA Beat the Boss sont désormais disponibles à la demande
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Déployez des défis de sécurité avancés liés à l'IA et au LLM pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyberrésilience : ce que cela signifie pour le développement de logiciels sécurisés dès la conception
Découvrez ce que la loi européenne sur la cyberrésilience (CRA) exige, à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Enabler 1 donne le coup d'envoi de notre série en 10 parties intitulée Enablers of Success en montrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité pour assurer la maturité à long terme des programmes.
