ハードコードされた認証情報はセキュリティリスクを招く可能性があります

Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。

Uber でのセキュリティインシデント

Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。

ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。

Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。

認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました

ハードコードされた認証情報

Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。

この脆弱性がコードでどのように見えるか知りたいですか？当社を試してみてください 無料のパワーシェルチャレンジ。

これらのタイプの攻撃はどの程度一般的ですか?

人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。

しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。

しかし、繰り返しになりますが、意識が鍵です！セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。

ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。

安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか？チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。