하드코딩된 자격 증명은 보안 위험을 초래할 수 있습니다.

Secure Code Warrior는 보안 및 개발자 커뮤니티에 코드를 안전하게 작성하고 안전하지 않은 코드를 통해 유입되는 취약점의 위험을 완화하는 방법을 교육하는 데 최선을 다하고 있습니다.이 목표의 일환으로 우리는 다음의 개발 스토리를 활용할 것입니다. 우버의 최근 보안 사고 개발자 중심의 보안과 좌익 전환의 중요성에 대해 논의할 수 있는 기회입니다.

우버 보안 사고

우버 (Uber) 는 성명서를 발표했습니다. 9월 16일에 발생한 사이버 보안 사고에 대해 계속 업데이트하고 있습니다.독자들은 이 이야기가 계속되고 있다는 점을 명심해야 합니다.지금까지 Uber의 발표와 보안 커뮤니티의 평판이 좋은 다른 게시물을 통해 알게 된 내용을 요약해 보겠습니다.

해커는 What'sapp 번호를 찾은 후 Uber 직원을 소셜 엔지니어링하는 것으로 시작했습니다.공격자는 이들에게 연락해 의심하지 않는 직원이 가짜 Uber 사이트에 로그인하도록 한 다음 사용자 이름과 비밀번호를 알아내는 방식으로 자격 증명을 피싱하기 시작했습니다.

Uber 계정은 다중 요소 인증 (MFA) 을 통해 보호됩니다. 즉, 사용자는 비밀번호를 제출하는 것 외에도 신원을 확인하는 두 번째 증거를 제시해야 합니다.대부분의 경우 이는 모바일 기기로 전송되는 프롬프트입니다.

공격자는 자격 증명을 획득한 후 다음을 시작했습니다. MFA 피로 공격 계속해서 정품 Uber 사이트에 로그인을 시도하고 직원이 기기에 수많은 푸시 알림을 보내도록 하는 방식으로 말이죠.다시 말하지만, 공격자는 WhatsApp을 통해 피해자에게 연락했습니다.이번에는 그들이 주장한 것으로 알려졌습니다. IT 지원 담당자로 위장함 그리고 성공적으로 그들이 받아들이도록 설득했습니다.

하드코딩된 자격 증명

Uber의 보안 침해는 성공적인 피싱 공격이었습니다.침입자는 안으로 들어가 PowerShell 스크립트가 포함된 네트워크 공유를 발견했습니다.이 스크립트 중 하나에는 관리자의 하드코딩된 자격 증명이 포함되어 있었고, 이로 인해 AWS, G-Suite, 코드 리포지토리와 같은 Uber 내부 서비스가 손상되었습니다.해커는 Uber의 HackerOne 계정에도 액세스할 수 있었습니다.하지만 Uber에 따르면 “공격자가 액세스할 수 있었던 모든 버그 보고서는 수정되었습니다.”

이 취약점이 코드에서 어떻게 보이는지 궁금하신가요?다음 프로그램을 사용해 보십시오. 파워쉘 챌린지 무료.

이러한 유형의 공격은 얼마나 흔한가요?

인적 요소는 항상 사이버 보안의 가장 취약한 부분으로 간주되어 왔기 때문에 공격 벡터로서의 소셜 엔지니어링은 방어하기 어렵습니다.Uber 해킹은 MFA 구현을 쉽게 우회할 수 있다는 것을 분명히 보여주었습니다.이를 방지하는 비결은 직원들 사이에서 피싱 공격의 작용에 대한 인식을 높이는 것입니다.

그러나 Uber의 내부 서비스가 노출된 원인은 PowerShell 스크립트에서 발견된 관리자의 사용자 이름과 비밀번호입니다.자격 증명을 하드코딩하는 것은 결코 좋은 일이 아닙니다. 모든 개발자, 기본적으로 코드에 액세스할 수 있는 모든 사람이 읽을 수 있기 때문입니다.

하지만 다시 말씀드리지만, 인식이 핵심입니다!보안을 중시하는 사고방식을 가진 개발자는 취약점을 발견할 가능성이 높지만 취약점을 발견할 확률은 낮습니다.

소셜 엔지니어링에 대한 일반 교육의 두 가지 접근 방식, 특히 사전 예방적 보안 코딩 교육을 통해 코드 기반의 취약점을 줄일 수 있으므로 보안 위협에 맞서 싸우는 데 매우 중요한 역할을 할 수 있습니다.

보안 코딩 모범 사례를 최신 상태로 유지하는 방법에 대해 자세히 알아보고 싶으신가요?확인해 보세요 시큐어 코드 코치.여기에서 무료로 보안 코딩 가이드라인과 트라이아웃 교육 연습을 배울 수 있습니다.