Los usuarios de GitHub son obligados a pedir un rescate con problemas de texto plano
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de relieve un problema muy conocido en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos podrían estar en riesgo en cualquier momento.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero accedió a tu repositorio con el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a tu repositorio. Creemos que es posible que estas credenciales se hayan filtrado a través de otro servicio, ya que otros servicios de alojamiento de git están sufriendo un ataque similar.
Como usuario de un servicio basado en la web, nunca es una buena experiencia recibir un correo electrónico como ese sobre una posible violación de sus datos personales. Ahora, imagine que los datos son un repositorio de código que representa su arduo trabajo, o incluso los secretos comerciales de su software. Al menos 392 (hasta ahora) GitHub, Bitbucket y GitLab los usuarios recibieron esa impactante notificación esta semana y, lo que es más, los atacantes descargaron su código, lo borraron del repositorio y retenido para pedir un rescate. Una vez que todos los archivos de los usuarios afectados hayan desaparecido, solo quedará un archivo de texto con este mensaje:
A diferencia de la mayoría de las otras brechas empresariales de interés periodístico (e incluso ataques anteriores en GitHub) este no fue causado por un error en su plataforma. Más bien, la información de la cuenta se almacenaba de forma insegura en texto plano y es probable que se filtrara de los servicios de administración de repositorios de terceros. Los desarrolladores almacenaban activamente contraseñas importantes de forma incorrecta y, a menudo, reutilizaban las mismas credenciales para varias cuentas de gran valor.
Parece que los estafadores no son los mejores ni los más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes y preocupadas por la seguridad ya han encontrado soluciones para que los usuarios afectados recuperar código borrado.
Aun así, esto pone de relieve algunos problemas que conocemos desde hace mucho tiempo en la industria de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad y datos valiosos pueden correr peligro en cualquier momento, incluso para aquellos que no son genios del hackeo.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Los seres humanos, por supuesto, tienen defectos y tendemos a querer facilitarnos la vida. No cabe duda de que es mucho menos complicado reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir «¡Z7b3#! q0HWxxv29!» solo para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo mejor.
De GitHub propio consejo el asunto fue sencillo y evaluó que este ataque de rescate no habría tenido lugar si se hubiera establecido la autenticación de dos factores y si se hubieran utilizado gestores de contraseñas seguros. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender, a un nivel fundamental, por qué determinadas acciones pueden dejar sus cuentas vulnerables a los ataques.
Educación: ¿La píldora mágica?
Los programadores expertos en seguridad entienden que un simple mala configuración de seguridad puede tener consecuencias devastadoras y, en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron fundamentales para permitir a los atacantes inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Exposición de datos confidenciales también es una vulnerabilidad crítica que hay que superar, ya que sigue ocupando el puesto número tres en el Top 10 de OWASP. Almacenar las contraseñas en texto plano es una clara prueba de que muchas personas no comprenden los peligros de hacerlo y la facilidad con la que se puede acceder a los sistemas mediante ataques de contraseña con fuerza bruta.
Comprender la criptografía (y, en particular, el almacenamiento criptográfico) es un componente esencial para administrar las contraseñas en una base de código mediante una seguridad férrea. Salvar y cifrar correctamente las contraseñas almacenadas, reforzando su unicidad, hará que sea mucho más difícil que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en la educación adecuada de los desarrolladores y en tomarse en serio el riesgo de las ciberamenazas. Tenemos que convertir el aprendizaje sobre la seguridad en una experiencia positiva y gratificante, y creo que eso será fundamental para que todos los desarrolladores puedan evaluar por sí mismos su trabajo a la hora de mejorar los estándares de calidad.
¿Quiere intentar eliminar las vulnerabilidades sobre las que ha leído aquí? Puedes jugar a los desafíos relacionados en Secure Code Warrior ahora mismo:
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.