GitHub 用户因纯文本痛苦而被勒索赎金
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
最近对GitHub存储库的攻击凸显了安全行业中一个众所周知的问题:大多数开发人员根本不够安全意识,宝贵的数据随时可能面临风险。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... 第三方使用其中一位有权访问您的存储库的用户的正确用户名和密码访问了您的存储库。我们认为,这些凭据可能是通过其他服务泄露的,因为其他 git 托管服务也在遭受类似的攻击。
作为基于网络的服务的用户,收到这样一封关于个人数据可能泄露的电子邮件从来都不是一种很好的体验。现在,想象一下,数据是一个代码存储库,代表你的辛勤工作,甚至是你的软件的商业秘密。 至少 392 (到目前为止) GitHub, 比特桶 和 GitLab 用户本周收到了那条令人心碎的通知,更重要的是——他们的代码已被攻击者下载,从存储库中抹掉了 勒索赎金。一旦受影响用户的文件全部消失,只剩下一个包含此消息的文本文件:
与大多数其他具有新闻价值的公司违规行为不同(甚至 以前的袭击 在 GitHub 上)这个不是由他们平台上的错误引起的。相反,账户信息以不安全的纯文本形式存储,很可能是从第三方存储库管理服务泄露的。开发人员经常错误地存储重要密码,并且经常为多个高价值账户重复使用相同的凭证。
看来诈骗者并不是编程界最优秀和最聪明的人,因为(在撰写本文时)没有一个用户支付赎金来恢复他们的代码,而且一些具有安全意识的聪明人已经为受影响的用户找到了解决方法 恢复已删除的代码。
尽管如此,这确实凸显了我们在安全行业长期以来所知道的问题:大多数开发人员根本没有足够的安全意识,宝贵的数据随时可能处于危险之中... 即使是那些不是黑客天才的人也是如此。
为什么我们的密码管理仍然如此糟糕?
人类当然是有缺陷的,我们倾向于让自己的生活更轻松。一遍又一遍地重复使用相同的用户名和密码肯定不那么麻烦,而且记住你的第一只小狗的名字比输入 “z7b3#! q0hwxxv29!” 容易得多只是为了访问你的电子邮件。但是,由于不断发生如此多的大规模网络攻击,开发人员现在确实应该知道得更多。
GitHub的 自己的建议 这件事直截了当,评估如果采用双因素身份验证并使用安全的密码管理器,就不会发生这种赎金攻击。这是绝对正确的,但正如我一直说的那样,很明显,教育必须走得更远。所有开发者都需要从根本上了解为什么某些行为会使他们的账户容易受到攻击。
教育:神奇的药丸?
精通安全的程序员明白,一个简单的 安全配置错误 可能会造成毁灭性的后果,就这次 GitHub 攻击而言,错误配置的文件似乎是攻击者成功注入恶意掠夺者搜寻城堡钥匙的关键因素。
敏感数据泄露 也是一个需要克服的关键漏洞,在OWASP前十名中仍排名第三。以明文形式存储密码清楚地表明许多人不了解这样做的危险,也清楚地表明系统很容易通过暴力密码攻击被破解。
了解密码学(尤其是加密存储)是使用铁杆安全性在代码库中管理密码的重要组成部分。成功地对任何存储的密码进行加盐和哈希处理,从而强制其唯一性,将使像这次赎金事件这样的情况发生变得更加困难。
重要的是要明白,我们对安全的集体态度需要改变,更加重视对开发人员的充分教育并认真对待网络威胁的风险。我们需要让学习安全知识成为一种积极而有益的体验,我认为这将是全面提高每位开发人员自我评估工作的标准的基础。
想尝试克服你在这里读到的漏洞吗?你可以在上面玩相关的挑战 安全代码勇士 现在:
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
