ハードコードされた認証情報はセキュリティリスクを招く可能性があります
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
ハードコーディングされた認証情報やソーシャルエンジニアリングに関連するリスクについて、Uber の最近のセキュリティインシデントや、組織が左にシフトして開発者が安全なコーディングのベストプラクティスを常に把握しておくことがなぜそれほど重要なのかを説明しているので、詳細をご覧ください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Laura Verheydeは、Secure Code Warriorのソフトウェア開発者で、ミッションラボとコーディングラボ向けの脆弱性の調査とコンテンツの作成に注力しています。
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Laura Verheydeは、Secure Code Warriorのソフトウェア開発者で、ミッションラボとコーディングラボ向けの脆弱性の調査とコンテンツの作成に注力しています。
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
