Las credenciales codificadas pueden introducir riesgos de seguridad
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Aprenda más sobre los riesgos asociados con las credenciales codificadas y la ingeniería social mientras discutimos el reciente incidente de seguridad de Uber y por qué es tan importante que las organizaciones cambien a la izquierda y se aseguren de que sus desarrolladores estén al día en las mejores prácticas de codificación segura.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
