Los usuarios de GitHub son retenidos por el dolor del texto plano
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
El reciente ataque a los repositorios de GitHub pone de manifiesto un problema bien conocido en el sector de la seguridad: la mayoría de los desarrolladores no están suficientemente concienciados en materia de seguridad, y los datos valiosos podrían estar en peligro en cualquier momento.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tercero ha accedido a su repositorio utilizando el nombre de usuario y la contraseña correctos de uno de los usuarios con permiso para acceder a su repositorio. Creemos que estas credenciales pueden haber sido filtradas a través de otro servicio, ya que otros servicios de alojamiento git están experimentando un ataque similar.
Como usuario de un servicio basado en la web, nunca es una gran experiencia recibir un correo electrónico como ese sobre una posible violación de tus datos personales. Ahora, imagina que los datos son un repositorio de código que representa tu duro trabajo, o incluso los secretos comerciales de tu software. Al menos 392 (hasta ahora) usuarios de GitHub, Bitbucket y GitLab han recibido esta semana una notificación de infarto, y lo que es más: los atacantes han descargado su código, lo han borrado del repositorio y han pedido un rescate. Una vez que los archivos de los usuarios afectados han desaparecido, sólo queda un archivo de texto que contiene este mensaje:
A diferencia de la mayoría de las filtraciones de empresas de interés periodístico (e incluso de ataques anteriores a GitHub), esta no fue causada por un error en su plataforma. Más bien, la información de las cuentas se almacenaba de forma insegura en texto plano y probablemente se filtró desde servicios de gestión de repositorios de terceros. Los desarrolladores estaban almacenando activamente contraseñas importantes de forma incorrecta, y a menudo reutilizando las mismas credenciales para múltiples cuentas de alto valor.
Al parecer, los estafadores no son los mejores y más brillantes del mundo de la programación, ya que (en el momento de escribir este artículo) ni un solo usuario ha pagado el rescate para recuperar su código, y algunas personas inteligentes con mentalidad de seguridad ya han encontrado soluciones para que los usuarios afectados recuperen el código eliminado.
Sin embargo, esto pone de manifiesto los problemas que conocemos desde hace mucho tiempo en el sector de la seguridad: la mayoría de los desarrolladores simplemente no son lo suficientemente conscientes de la seguridad, y los datos valiosos podrían estar en peligro en cualquier momento... incluso por aquellos que no son genios del hacking.
¿Por qué nuestra gestión de contraseñas sigue siendo tan deficiente?
Por supuesto, los humanos somos imperfectos y tendemos a hacernos la vida más fácil. Ciertamente, es mucho menos molesto reutilizar el mismo nombre de usuario y contraseña una y otra vez, y recordar el nombre de tu primer cachorro es mucho más fácil que escribir "¡Z7b3#!q0HwXxv29!'para acceder a tu correo electrónico. Sin embargo, con tantos ciberataques a gran escala que se producen constantemente, los desarrolladores ya deberían saberlo.
El propio consejo de GitHub sobre el asunto fue directo, evaluando que este ataque de rescate no habría tenido lugar si la autenticación de dos factores estaba en su lugar y que los gestores de contraseñas seguras estaban en uso. Esto es absolutamente cierto, pero como sigo diciendo, está claro que la educación debe ir más allá. Todos los desarrolladores deben entender -a un nivel fundamental- por qué ciertas acciones podrían dejar sus cuentas vulnerables a un ataque.
La educación: ¿La píldora mágica?
Los programadores conocedores de la seguridad entienden que una simple desconfiguración de la seguridad puede tener consecuencias devastadoras, y en el caso de este ataque a GitHub, parece que los archivos mal configurados fueron decisivos para que los atacantes pudieran inyectar con éxito skimmers maliciosos para buscar las llaves de sus castillos.
Laexposición de datos sensibles también es una vulnerabilidad crítica que hay que superar, y sigue ocupando el tercer puesto en el Top 10 de OWASP. El almacenamiento de contraseñas en texto plano es una clara evidencia de que muchos no entienden los peligros de hacerlo, y la facilidad con la que los sistemas pueden ser violados a través de ataques de fuerza bruta a las contraseñas.
Entender la criptografía (y en particular, el almacenamiento criptográfico) es un componente esencial para gestionar las contraseñas en una base de código con una seguridad férrea. El salado y el hash de cualquier contraseña almacenada, forzando su unicidad, va a dificultar mucho más que se produzcan situaciones como este incidente de rescate.
Es importante entender que nuestras actitudes colectivas hacia la seguridad deben cambiar, haciendo más hincapié en una educación adecuada para los desarrolladores y tomando en serio el riesgo de las ciberamenazas. Tenemos que hacer que el aprendizaje de la seguridad sea una experiencia positiva y gratificante, y creo que eso será fundamental para una elevación general de los estándares de cada desarrollador que autoevalúe su trabajo.
¿Quieres intentar vencer las vulnerabilidades que has leído aquí? Puedes jugar a los retos relacionados en Secure Code Warrior ahora mismo:
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Temas y contenidos de la formación sobre código seguro
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
Ley de Resiliencia Cibernética (CRA) Vías de aprendizaje alineadas
SCW apoya la preparación para la Ley de Resiliencia Cibernética (CRA) con misiones alineadas con la CRA y colecciones de aprendizaje conceptual que ayudan a los equipos de desarrollo a crear habilidades de diseño seguro, SDLC y codificación segura alineadas con los principios de desarrollo seguro de la CRA.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
Recursos para empezar
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
La IA puede escribir y revisar código, pero los humanos siguen siendo los responsables del riesgo.
El lanzamiento de Claude Code Security por parte de Anthropic marca un punto de inflexión decisivo entre el desarrollo de software asistido por IA y el rápido avance de nuestro enfoque de la ciberseguridad moderna.