Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de manifiesto un problema bien conocido en el sector de la seguridad: la mayoría de los desarrolladores no están suficientemente concienciados en materia de seguridad, y los datos valiosos podrían estar en peligro en cualquier momento.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Secure Code Warrior Learning: Enable Secure AI-Driven Development at Scale
Secure code for the AI era: Learn how Secure Code Warrior builds developer capability to reduce vulnerabilities and secure AI-generated code at scale.
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
El poder de la seguridad de aplicaciones OpenText + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Recursos para empezar
Securing the Future of Software: Why Secure Code Warrior and KnowBe4 Are Joining Forces
I am thrilled to announce today an upcoming strategic partnership between Secure Code Warrior and KnowBe4. KnowBe4 is a world-renowned leader in comprehensively managing human and agentic AI risk, making them the perfect partner to help us distribute foundational security awareness to organizations across the globe.
Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.
.png)