Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de manifiesto un problema bien conocido en el sector de la seguridad: la mayoría de los desarrolladores no están suficientemente concienciados en materia de seguridad, y los datos valiosos podrían estar en peligro en cualquier momento.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Más de 10.000 actividades de aprendizaje sobre código seguro: Una década de gestión de riesgos para desarrolladores
Más de 10 000 actividades de aprendizaje de código seguro y una década ayudando a los desarrolladores a reducir riesgos, mejorar la calidad del código y abordar con confianza el desarrollo asistido por IA.
.jpg)
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
