Les informations d'identification codées en dur peuvent présenter des risques de sécurité
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Apprenez-en davantage sur les risques associés aux informations d'identification codées en dur et à l'ingénierie sociale en discutant du récent incident de sécurité d'Uber et des raisons pour lesquelles il est si important pour les entreprises de tourner à gauche et de s'assurer que leurs développeurs sont au courant des meilleures pratiques en matière de codage sécurisé.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Table des matières
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
