Что самое худшее, что может случиться? Эти ошибки в безопасности почти показали мне
beginners-guide cybersecurity cyber-threats cybersecurity-tips cybersecurity-awareness guide security-mistakes most-common-mistakes-to-avoid

Что самое худшее, что может случиться? Эти ошибки в безопасности почти показали мне

13 июня 2025 г.

Большинство нарушений безопасности не начинаются с элитных хакеров в толстовках. Они обычно начинают с чего -то маленького.

Я был в комнате, когда незначительные ошибки чуть не убили крупные проекты. Я даже сделал несколько из них сам. Если вы строите стартап или отправляете свой MVP, один небольшой ошибка может отменить все, для чего вы работали.

Эта статья разбивает фактические ошибки в безопасности, которые я видел, и сделал это почти разрушили целые проекты.

Я делюсь ими, поэтому вам не нужно учиться трудным путем.

Давайте прыгнем.

Доверив каждый плагин, пакет и API

Предполагая, что каждая библиотека или API безопасны, это самый простой способ взлома. Не все онлайн безопасно.

Кто -то наRedditНедавно поделился тем, как он получил «API -мошенничество». Мошенник притворился от Steam (игровой платформы) и сказал ему отправить свои предметы «другу» или рискнуть потерять их. Но мошенник изменил сделку в последнюю секунду, и все исчезло.

И это не просто геймеры. В тот момент, когда вы подключаете что -то в свою базу данных, браузер или бэкэнд, вы передаете доступ.

В 2021 годуПопулярный пакет NPM (UA-Parser-JS), используемый тысячами разработчиков каждый день, был скомпрометирован. Хакеры вводили вредоносное ПО, которое молча украла пароли и добываемую криптовалюту.

Открытый исходный код не всегда на 100% безопасен. API -смена. Некоторые устанавливаются, другие начинают регистрироваться больше, чем должны. Итак, вот что вы должны сделать, чтобы оставаться в безопасности:

  • Не устанавливайте плагины или инструменты только потому, что они популярны.
  • Придерживайтесь библиотек из доверенных источников.
  • Используйте сканеры, какSnykилиГнездоЧтобы сканировать и аудит инструментов перед их использованием.
  • Регулярно обновляйте свои инструменты. Устаревшие легче компромисс.

Оставить режим отладки в производстве

Допустим, вы только что закончили тестирование своего приложения, и все работает нормально. Вы так взволнованы, чтобы отправить, что вы подталкиваете к производству.

Но тогда вы допустили ошибку. Вы забыли отключить режим отладки.

Оставление режима отладки в производстве может выявлять запросы базы данных, переменные среды и конфиденциальные данные, такие как клавиши API или токены.

Однажды я работал с командой над проектом, где режим отладки Фласки был оставлен во время запуска. Пользователь вызвал ошибку и увидел нашу полную структуру каталогов и конфигурацию частичной среды. К счастью, данные не были потеряны. Но нам пришлось проверять безопасность, повернуть секреты, выпустить Hotfix и уведомлять пользователей.

Вот что вы можете сделать, чтобы избежать этой ошибки:

  • Всегда выключайте отладку или многословную регистрацию в производстве.
  • Используйте контрольный список развертывания и автоматизацию.
  • Отдельные конфигурации разработки и производства с секретным менеджером.

ДажеLaravel Communityпредупредил, что отключить режим отладки в производстве. Я бы принял этот совет, если бы я был вами.

Отбрасывая старый компьютер, не вытирая его

У нас был старый ноутбук с треснутым экраном, лежащим вокруг. Это не использовалось с тех пор, как мы получили новый. Итак, я бросил это.

Я не вытирал жесткий диск, я даже ничего не шифровал. Я только что забрал его и оставил в углу возле мусора. Неделю спустя я понял, что у него все еще были клиентские записи, счета -фактуры, входы в браузер, включая доступ к банке и старый экспорт Slack.

Если бы кто -то подключил его, он мог бы легко поднять конфиденциальные данные. Мне повезло, но Морган Стэнли этого не сделал.

В 2020 году Морган Стэнлисогласился заплатить 60 миллионов долларовЧтобы урегулировать исчисление классов после того, как они не смогли должным образом уйти в отставку ИТ-оборудования. Не один раз, но дважды.

В 2016 году они выводили из эксплуатации два центра обработки данных, но незашифрованное оборудование (все еще загруженное данными клиентов) было перепродано на несанкционированных покупателей. Затем в 2019 году они передали больше серверов поставщику. Примерно 15 миллионов клиентов пострадали.

Отказ или продажа ваших старых компьютеров или устройств без их очистки может привести к краже данных и краже данных. Итак, прежде чем утилизировать это устройство:

  • Протрите весь драйв. Используйте такие инструменты, какDbanили встроенные опции ОС.
  • Зашифруйте ваше устройство, чтобы никто не мог прочитать на нем данные.
  • Партнер с сертифицированными услугами электронных отходов для безопасного уничтожения и надлежащей утилизации.

Копирование и вставка ключей API в публичные хранилища

Ключи API похожи на секретные пароли между вашими приложениями и другими службами. Если вы вставите эти ключи в общедоступный код, любой может их захватить и злоупотреблять.

Блок 42 Пало -Альто сканировал более 24 000 файлов GitHubи обнаружили более 12 000 открытых секретов, в том числе клавиш API. Некоторые ключи даже предоставили полный доступ администратора.

Относитесь к своим ключам как к чувствительным учетным данным, которым они являются. Не вставляйте клавиши API, пароли базы данных или секреты непосредственно в ваш код или делитесь скриншотами кода с видимыми ключами.

Сделайте это вместо этого:

  • Используйте секретные менеджеры, такие как Manager AWS Secrets, Vault Vault или Hashicorp Vault.
  • Регулярно вращайте ключи API, особенно после смены команды или инцидентов.
  • Используйте переменные окружающей среды (.env files), чтобы не допустить ваших секретов в кодовой базе.
  • Используйте автоматические сканеры, такие как GitHub Secret Scanning, чтобы помочь сканировать и обнаружить секреты в вашем хранилище.

Разоблачение административных панелей

В прошлом месяце исследователь безопасности взломал печально известныйLockbit Ransomware Сайти просочил их панель администратора.

Да! Хакеры взломали. Если они могут быть выставлены, тоже можете.

Ваша административная панель - это управляющая комната вашей системы. Как только он будет обнаружен, это уязвимо.

УгрозаОбъяснил, как случайно разоблачение ваших административных панелей может позволить злоумышленникам встать, не нарушая пота.

Вот как правильно закрепить панели администратора:

  • Используйте прокси, чтобы ограничить обнаружение.
  • Не используйте очевидный путь, такой как администратор или /приборная панель.
  • Используйте IP Allisting, чтобы только доверенные IP -адреса могли достигать этих страниц.
  • Проведите регулярные сканирования и аудиты, чтобы найти и удалить забытые или скрытые панели, прежде чем кто -то другой.

Жестко кодировать ваши секреты в кодовую базу

Жестко кодирование ваших клавиш API, токенов, паролей и т. Д. Может показаться простым. Но что, если ваш код когда -нибудь станет публичным (или утечками)? Эти секреты идут с этим.

Один субподрядчик загрузил исходный код с клавишами жестко -кодированного доступа дляData Services ToyotaПолем Репо был общедоступным в течение многих лет, возможно, предоставляя доступ 296 019 записями клиентов.

Uberтакже столкнулся с тем же самым после того, как атакующий обнаружилХардкодированные полномочия администраторав сценарии PowerShell.

Секреты жесткой кодирования - одна из самых игнорируемых ошибок в кибербезопасности.

В большинстве случаев они остаются незамеченными в разработке и похоронены в файлах конфигурации или исходного кода. Тем не менее, они могут дать несанкционированный доступ к критическим системам, не выявляя тревоги после выставки.

Вот что вы можете сделать:

  • Используйте секретные инструменты управления, которые безопасно хранят секреты и регулярно вращаются.
  • Сканируйте свой код автоматически, прежде чем нажимать обновления.

Делиться одним входом в систему по всей команде

Обмен учетными записями или паролями с несколькими людьми - ужасная идея. Ошибка, которую мы совершаем, не задумываясь о последствиях.

Если что -то пойдет не так, вы не знаете, кто несет ответственность. Вы также не можете сказать, кто внес изменения или украл информацию. Общие учетные данные убивают подотчетность. Они также облегчают злоумышленникам передвигаться незамеченными.

Вместо того, чтобы поделиться одним входом в систему, сделайте это:

  • Создайте личные учетные записи для каждого пользователя, даже если он в одной команде.
  • Применение доступа на основе ролей. Дайте пользователям именно то, что им нужно.
  • Используйте менеджер паролей, чтобы безопасно поделиться только те учетными данными, которые им нужны.

Использование случайного USB -диска

Представьте, что вы нашли USB -палку, лежащую на земле и подключили ее к компьютеру только потому, что вам любопытно. Звучит безвредно, верно? Пока вирус не поразит тебя.

Мой друг сделал именно это. Она взяла старую USB -палку, подключила ее, не задумываясь, и бум! Ее экран освещался более 30 вирусными оповещениями.

Некоторые хакеры загружают USB с вредоносным ПО и оставляют их там, где кто -то может забрать их из любопытства. После подключения вредоносное ПО заканчивается,Скомпрометирую вашу систему или кражу ваших данныхПолем Некоторые могут даже дать удаленный доступ к вашему устройству.

Таким образом, вы должны быть осторожны, какой USB вы подключаете к своему компьютеру.

  • Используйте блокировщики портов USB или выключите функции автоматического запуска.
  • Иметь защиту конечной точки, которая помечает несанкционированные попытки доступа.
  • Вместо этого используйте облачное хранилище. Это безопаснее и проще в управлении доступом.

Последние слова

Безопасность - это не просто контрольный список. Это мышление.

Я сделал эти ошибки. Я убрал их, и я узнал (иногда трудным способом), что немного осторожно осторожно спасает вас от хаоса позже.

А вы?

Вы когда -нибудь совершали ошибку безопасности, которая почти стоила вам проекта или вашей работы?
Бросить комментарий. Я тоже хотел бы учиться у вас.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE