Las credenciales codificadas pueden introducir riesgos de seguridad
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Aprenda más sobre los riesgos asociados con las credenciales codificadas y la ingeniería social mientras discutimos el reciente incidente de seguridad de Uber y por qué es tan importante que las organizaciones cambien a la izquierda y se aseguren de que sus desarrolladores estén al día en las mejores prácticas de codificación segura.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
.png)
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un acrónimo?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Recursos para empezar
Resolver la crisis de visibilidad: cómo Trust Agent salva la distancia entre aprendizaje y código
Trust Agent de Secure Code Warrior resuelve la crisis de la codificación segura, validando la competencia de los desarrolladores en cada commit. Descubre a todos los colaboradores y automatiza la gobernanza en su flujo de trabajo de desarrollo.
Recuperar el pensamiento crítico en el desarrollo seguro de software mejorado con IA
El debate sobre la IA no gira en torno al uso, sino a la aplicación. Descubra cómo equilibrar la necesidad de aumentar la productividad de la IA con una seguridad sólida confiando en desarrolladores que conozcan a fondo su código.
Asistentes de codificación de IA: La máxima productividad conlleva mayores riesgos
En nuestro último libro blanco, nuestros cofundadores Pieter Danhieux y el Dr. Matias Madou, Ph.D., exploran el arma de doble filo que son los Asistentes de Codificación de IA y cómo pueden ser una adición bienvenida y una importante responsabilidad de seguridad al mismo tiempo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
