GitHub 用户因纯文本痛苦而被勒索赎金
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
最近对GitHub存储库的攻击凸显了安全行业中一个众所周知的问题:大多数开发人员根本不够安全意识,宝贵的数据随时可能面临风险。
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
