Des utilisateurs de GitHub détenus en rançon en raison d'une douleur liée au texte en clair

... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :

Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
%252520(1).avif)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.


