GitHub 用户因纯文本痛苦而被勒索赎金
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
