Los usuarios de GitHub son obligados a pedir un rescate con problemas de texto plano
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de relieve un problema muy conocido en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos podrían estar en riesgo en cualquier momento.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
