colin thierry
Publicado el: 19 de agosto de 2022
El administrador de paquetes del lenguaje de programación Ruby, RubyGems, ha tomado medidas para exigir la autenticación multifactor (MFA) para proteger las cuentas de los mantenedores de proyectos populares (gemas).
"Hoy, comenzaremos a aplicar MFA a los propietarios de gemas con más de 180 millones de descargas totales", se lee en el mensaje de Jenny Shen. anuncio en el blog de RubyGems el lunes. “Los usuarios de esta categoría que no tengan MFA habilitado en la interfaz de usuario y la API o la interfaz de usuario y el nivel de 'inicio de sesión de gemas' no podrán editar su perfil en la web, realizar acciones privilegiadas (es decir, empujar y extraer gemas, o agregar y eliminar propietarios de gemas) o iniciar sesión en la línea de comando hasta que configuren MFA”.
Si bien esta nueva política se aplica principalmente a los propietarios de gemas con más de 180 millones de descargas, los mantenedores con entre 165 y 180 millones de descargas también recibirán recomendaciones a través de la interfaz de línea de comandos (CLI) y la interfaz de usuario (UI).
Esta decisión se presentó como una medida de seguridad adicional contra la apropiación de cuentas, que es una de las formas más comunes y peligrosas de ataques a la cadena de suministro de software. Tomar el control de una cuenta, especialmente una muy popular, permite a los actores de amenazas distribuir malware fácilmente.
Phishing, ingeniería social, y la administración de credenciales inadecuada (contraseñas débiles, usar la misma contraseña para varias cuentas) permiten que se produzcan ataques de apropiación de cuentas. Como resultado, la MFA obligatoria podría ser una medida de seguridad adicional necesaria contra estos ataques.
“Esta política nos pondría en línea con las políticas hechas por otros ecosistemas de paquetes”, dijo Shen. “Además, actualmente también estamos trabajando para agregar soporte para WebAuthn. Los mantenedores podrían usar tokens de hardware, claves biométricas y otros dispositivos compatibles con WebAuthn como su dispositivo multifactor de elección”.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- Detectives de seguridad
- VPN
- seguridad del sitio web
- zephyrnet
