GitHub ユーザが平文文の問題で身代金を要求される
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
最近のGitHubリポジトリへの攻撃は、セキュリティ業界でよく知られている問題を浮き彫りにしました。それは、ほとんどの開発者がセキュリティを十分に認識しておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... サードパーティが、リポジトリへのアクセス権限を持ついずれかのユーザーの正しいユーザー名とパスワードを使用してリポジトリにアクセスしました。他の Git ホスティングサービスでも同様の攻撃を受けているため、これらの認証情報は別のサービスを通じて漏洩した可能性があると考えています。
ウェブベースのサービスのユーザーにとって、個人データの侵害の可能性についてこのようなメールを受け取ることは決して素晴らしい経験ではありません。さて、そのデータが、あなたの苦労やソフトウェアの企業秘密を表すコードリポジトリだと想像してみてください。 少なくとも 392 (これまでのところ) GitHub、 ビットバケット そして GitLab 今週、ユーザーは胸を張るような通知を受け取りました。さらに、攻撃者によってコードがダウンロードされ、リポジトリから消去され、 身代金を要求された。影響を受けたユーザーのファイルがすべてなくなると、次のメッセージを含むテキストファイルが 1 つだけ残ります。
他のほとんどの報道価値のある企業情報漏えいとは異なり (さらには) 以前の攻撃 GitHub)では、これはプラットフォームのバグが原因ではありません。むしろ、アカウント情報はプレーンテキストで安全でない状態で保存されていたため、サードパーティのリポジトリ管理サービスから漏洩した可能性があります。開発者は重要なパスワードを誤って保存していたため、価値の高い複数のアカウントに同じ認証情報を再利用することがよくありました。
詐欺師はプログラミングの世界で最も優秀でも賢いわけでもないようです。(執筆時点では) コードを回復するために身代金を支払ったユーザーは一人もおらず、セキュリティ志向の賢い人々の中には、影響を受けたユーザーの回避策をすでに見つけている人もいます。 削除したコードを復元。
それでも、これはセキュリティ業界で長年知られてきた問題を浮き彫りにしています。ほとんどの開発者は単にセキュリティを十分に認識しておらず、貴重なデータはいつでも危険にさらされる可能性があります。ハッキングの天才でなくても、貴重なデータはいつでも危険にさらされる可能性があります。
なぜ私たちのパスワード管理はまだそれほど貧弱なのですか?
人間にはもちろん欠陥があり、私たちは自分たちの生活を楽にしたいと思う傾向があります。同じユーザー名とパスワードを何度も再利用するほうがはるかに手間がかからず、最初の子犬の名前を覚えるのは、「Z7b3#! q0HWxxV29! 'と入力するよりもはるかに簡単です。メールにアクセスするだけです。しかし、非常に多くの大規模なサイバー攻撃が絶えず行われているため、開発者は今頃もっとよく知っているはずです。
GitHub 自分のアドバイス 二要素認証が導入されていて、安全なパスワードマネージャーが使用されていれば、この身代金攻撃は起こらなかっただろうと評価したので、この件に関しては簡単でした。これはまったく真実ですが、私が言い続けているように、教育はさらに進めなければならないことは明らかです。すべての開発者は、特定のアクションによってアカウントが攻撃を受けやすくなる理由を、根本的なレベルで理解する必要があります。
教育:魔法の薬?
セキュリティに精通したコーダーは、それが簡単であることを理解しています セキュリティの設定ミス 壊滅的な結果をもたらす可能性があり、このGitHub攻撃の場合、攻撃者が悪意のあるスキマーを正常に挿入して城の鍵を探すのに成功したのは、ファイルの構成が間違っていることが原因だったようです。
機密データ漏えい また、克服すべき重大な脆弱性でもあり、OWASPトップ10では依然として3位にランクされています。パスワードをプレーンテキストで保存することは、多くの人がその危険性や、ブルートフォースパスワード攻撃によってシステムがいかに簡単に侵害されるかを理解していないことの明らかな証拠です。
強固なセキュリティを使用してコードベースでパスワードを管理するには、暗号方式 (特に暗号化ストレージ) を理解することが不可欠です。保存されているパスワードのソルト処理とハッシュ化に成功し、そのパスワードの一意性を強制すれば、このような身代金請求事件のような状況が発生しにくくなります。
重要なのは、開発者への適切な教育と、サイバー脅威のリスクを真剣に受け止めることに重点を置くことで、セキュリティに対する私たちの全体的な態度を変える必要があることを理解することが重要です。私たちはセキュリティについて学ぶことを前向きでやりがいのある経験にする必要があります。それが、すべての開発者が自分の仕事を自己評価する基準を全体的に引き上げるための基本になると思います。
ここで紹介した脆弱性を克服してみませんか?関連するチャレンジをプレイできます。 セキュア・コード・ウォリアー 今すぐ:
目次
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
