Des utilisateurs de GitHub détenus en rançon en raison d'une douleur liée au texte en clair
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
La récente attaque contre les référentiels GitHub met en lumière un problème bien connu dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment.
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
... un tiers a accédé à votre dépôt en utilisant le nom d'utilisateur et le mot de passe corrects pour l'un des utilisateurs autorisés à accéder à votre référentiel. Nous pensons que ces informations d'identification ont peut-être été divulguées via un autre service, car d'autres services d'hébergement Git sont confrontés à une attaque similaire.
En tant qu'utilisateur d'un service Web, ce n'est jamais une bonne expérience de recevoir un e-mail comme celui-ci concernant une violation potentielle de vos données personnelles. Maintenant, imaginez que les données sont un référentiel de code représentant votre dur labeur, ou même les secrets commerciaux de votre logiciel. Au moins 392 (jusqu'à présent) GitHub, Bit bucket et GitLab les utilisateurs ont reçu cette notification époustouflante cette semaine, et qui plus est, leur code a été téléchargé par les attaquants, effacé du référentiel et détenu contre rançon. Une fois que tous les fichiers des utilisateurs concernés ont disparu, il ne reste qu'un seul fichier texte contenant ce message :
Contrairement à la plupart des autres violations d'informations dignes d'intérêt des entreprises (et même attaques précédentes sur GitHub), celui-ci n'a pas été causé par un bogue sur leur plateforme. Au contraire, les informations de compte ont été stockées de manière non sécurisée en texte clair et ont probablement été divulguées par des services de gestion de référentiels tiers. Les développeurs stockaient activement des mots de passe importants de manière incorrecte et réutilisaient souvent les mêmes informations d'identification pour plusieurs comptes de grande valeur.
Il semblerait que les escrocs ne soient pas les meilleurs et les plus intelligents du monde de la programmation, car (au moment de la rédaction de cet article) aucun utilisateur n'a payé la rançon pour récupérer son code, et certaines personnes intelligentes soucieuses de la sécurité ont déjà trouvé des solutions de contournement permettant aux utilisateurs concernés de récupérer le code supprimé.
Cela met tout de même en lumière des problèmes que nous connaissons depuis longtemps dans le secteur de la sécurité : la plupart des développeurs ne sont tout simplement pas suffisamment conscients de la sécurité et des données précieuses peuvent être menacées à tout moment... même par ceux qui ne sont pas des génies du piratage informatique.
Pourquoi notre gestion des mots de passe est-elle toujours aussi mauvaise ?
Les humains ont bien sûr des défauts et nous avons tendance à vouloir nous faciliter la vie. Il est certainement beaucoup plus facile de réutiliser le même nom d'utilisateur et le même mot de passe encore et encore, et il est beaucoup plus facile de se souvenir du nom de votre premier chiot que de taper « Z7b3# ! Q0HWxxV29 ! » juste pour accéder à votre messagerie. Cependant, avec autant de cyberattaques à grande échelle qui se produisent en permanence, les développeurs devraient vraiment en savoir plus maintenant.
GitHub propres conseils sur la question était simple, évaluant que cette attaque de rançon n'aurait pas eu lieu si l'authentification à deux facteurs avait été mise en place et si des gestionnaires de mots de passe sécurisés avaient été utilisés. C'est tout à fait vrai, mais comme je n'arrête pas de le dire, il est clair que l'enseignement doit aller plus loin. Tous les développeurs doivent comprendre, à un niveau fondamental, pourquoi certaines actions peuvent rendre leurs comptes vulnérables aux attaques.
L'éducation : la pilule magique ?
Les codeurs férus de sécurité savent qu'un simple mauvaise configuration de la sécurité peut avoir des conséquences dévastatrices, et dans le cas de cette attaque sur GitHub, il semble que des fichiers mal configurés aient contribué à permettre aux attaquants d'injecter avec succès des skimmers malveillants pour retrouver les clés de leurs châteaux.
Exposition à des données sensibles est également une vulnérabilité critique à surmonter, qui occupe toujours la troisième place du Top 10 de l'OWASP. Le stockage des mots de passe en texte clair montre clairement que de nombreuses personnes ne comprennent pas les dangers que cela représente et la facilité avec laquelle les systèmes peuvent être piratés par des attaques de mots de passe par force brute.
Comprendre la cryptographie (et en particulier le stockage cryptographique) est un élément essentiel pour gérer les mots de passe dans une base de code utilisant une sécurité à toute épreuve. Le fait de saler et de hacher avec succès tous les mots de passe stockés, forçant ainsi leur caractère unique, compliquerait considérablement les situations telles que cet incident de rançon.
Il est important de comprendre que nos attitudes collectives à l'égard de la sécurité doivent changer, en mettant davantage l'accent sur une formation adéquate des développeurs et en prenant au sérieux les risques liés aux cybermenaces. Nous devons faire de l'apprentissage de la sécurité une expérience positive et enrichissante, et je pense que cela sera fondamental pour améliorer globalement les normes pour chaque développeur qui évalue lui-même son travail.
Vous voulez essayer de neutraliser les vulnérabilités dont vous avez parlé ici ? Vous pouvez jouer à des défis connexes sur Secure Code Warrior en ce moment :
Índice
Director General, Presidente y Cofundador
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
