Les informations d'identification codées en dur peuvent présenter des risques de sécurité
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Apprenez-en davantage sur les risques associés aux informations d'identification codées en dur et à l'ingénierie sociale en discutant du récent incident de sécurité d'Uber et des raisons pour lesquelles il est si important pour les entreprises de tourner à gauche et de s'assurer que leurs développeurs sont au courant des meilleures pratiques en matière de codage sécurisé.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Laura Verheyde est une développeuse de logiciels chez Secure Code Warrior qui se concentre sur la recherche de vulnérabilités et la création de contenu pour les missions et les laboratoires de codage.
Secure Code Warrior s'engage fermement à aider la communauté de la sécurité et des développeurs à écrire du code en toute sécurité et à atténuer le risque de vulnérabilités introduites par un code non sécurisé. Dans le cadre de cet objectif, nous utiliserons l'histoire en développement de Le récent incident de sécurité d'Uber comme l'occasion de discuter de l'importance de la sécurité pilotée par les développeurs et de la transition vers la gauche.
Incident de sécurité chez Uber
Uber a publié une déclaration sur l'incident de cybersécurité du 16 septembre et ils continuent de le mettre à jour. Les lecteurs doivent garder à l'esprit qu'il s'agit d'une histoire en cours. Récapitulons ce que nous avons appris grâce à l'annonce faite par Uber jusqu'à présent et à d'autres publications réputées de la communauté de la sécurité.
Le hacker a commencé par faire de l'ingénierie sociale à un employé d'Uber, après avoir découvert son numéro What'sApp. L'attaquant les a contactés et a commencé à hameçonner des informations d'identification en demandant à l'employé peu méfiant de se connecter à un faux site Uber, puis de saisir son nom d'utilisateur et son mot de passe.
Les comptes Uber sont protégés par l'authentification multifactorielle (MFA), ce qui signifie qu'en plus de fournir un mot de passe, l'utilisateur doit présenter un deuxième élément de preuve confirmant son identité. Dans la plupart des cas, il s'agit d'une invite envoyée à un appareil mobile.
Après avoir obtenu les informations d'identification, l'attaquant a lancé une Attaque de fatigue MFA en essayant continuellement de se connecter au site Uber authentique et en surchargeant l'employé de nombreuses notifications push sur son appareil. Encore une fois, l'attaquant a contacté la victime via WhatsApp. Cette fois, ils auraient prétendu être un support informatique et les a convaincus avec succès d'accepter.
Informations d'identification codées en dur
À la base de la faille de sécurité d'Uber se trouvait une attaque de phishing réussie. Une fois à l'intérieur, l'intrus a découvert des partages réseau contenant des scripts PowerShell. L'un de ces scripts contenait les informations d'identification codées en dur d'un administrateur, ce qui a compromis les services internes d'Uber, tels qu'AWS, G-Suite et les référentiels de code. Le hacker a également eu accès au compte HackerOne d'Uber. Selon Uber, « tous les rapports de bogues auxquels l'attaquant a pu accéder ont été corrigés ».
Curieux de savoir à quoi ressemblerait cette vulnérabilité dans le code ? Essayez notre Défi PowerShell gratuit.
Dans quelle mesure ces types d'attaques sont-ils courants ?
Il est difficile de se défendre contre l'ingénierie sociale en tant que vecteur d'attaque, car le facteur humain a toujours été considéré comme l'élément le plus faible de la cybersécurité. Le piratage d'Uber a clairement illustré que les implémentations du MFA peuvent facilement être contournées. Pour éviter cela, il est essentiel de sensibiliser davantage les employés au fonctionnement des attaques de phishing.
Ce sont toutefois le nom d'utilisateur et le mot de passe de l'administrateur qui ont été trouvés dans un script PowerShell qui ont causé la divulgation des services internes d'Uber. Le codage en dur des informations d'identification n'est jamais une bonne chose, car elles deviennent lisibles pour n'importe quel développeur, et en fait pour toute personne ayant accès au code.
Mais encore une fois, la prise de conscience est essentielle ! Les développeurs ayant un état d'esprit centré sur la sécurité sont plus susceptibles de repérer les vulnérabilités et moins enclins à les écrire.
Une double approche de la formation générale sur l'ingénierie sociale, et plus particulièrement de la formation proactive au codage sécurisé, réduira le nombre de vulnérabilités dans une base de code et s'avérera donc essentielle dans la lutte contre les menaces de sécurité.
Vous souhaitez en savoir plus sur la manière de rester à jour avec les meilleures pratiques de codage sécurisé ? Consultez Coach de code sécurisé. Ici, vous pouvez apprendre des directives de codage sécurisé et essayer des exercices d'entraînement gratuitement.
Inhaltsverzeichnis
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
