Blog

GitHub 用户因纯文本痛苦而被勒索赎金

May 9, 2019
Pieter Danhieux
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。

作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub比特桶GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:

Hacker asking for Bitcoin
图片来源: 窃听电脑

与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。

看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码

尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。

为什么我们的密码管理仍然如此糟糕?

人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。

GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。

教育:神奇的药丸?

精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。

敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。

了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。

重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。

想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:

标语

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
标语

Explore more blogs

Lorem Issum diam quis eim leboutis ein selerisque lobortis sepitis beelrisque lobortis sepitis celerisque lobortis celeriskue filmentis celeriskue filmentis celeriskue diam

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo