Es ist ein weiterer Dienstag. Ein weiteres Leck. Eine weitere Bedrohung.
Grafana Labs – die Entwickler dieses beliebten Open-Source-Visualisierungstools, auf das wir alle angewiesen sind – sagen, dass ihre Codebasis kompromittiert wurde.
Große Sache? Vielleicht auch nicht. Auf jeden Fall besorgniserregend.
Sie bestätigten den Verstoß in den sozialen Medien, was sich jetzt seltsam normal anfühlt. Die Untersuchung ergab, dass die Angreifer keine Mauer einbrachen; Sie fanden eine unverschlossene Tür. Konkret geht es um einen gestohlenen Token-Zugangsdatensatz. Dadurch erhielten sie Zugriff auf die GitHub-Umgebung von Grafana, in der sich der Quellcode befindet.
Haben sie Kundendaten erhalten? Nein. Finanzdaten? Nein. Nur der Code.
Der Angreifer hat versucht, uns zu erpressen. Zahlung verlangen, um die Freilassung zu verhindern.
Das ist der Kern davon. Erpressung. Einfach und unverblümt.
Hier ist der Haken. Der Code von Grafana ist Open Source. Es ist öffentlich. Jeder mit Internet kann es herunterladen. Sie können es bearbeiten. Sie können es ausführen.
Warum also damit drohen, etwas durchsickern zu lassen, was jeder bereits sehen kann?
Vielleicht sind da auch proprietäre Sachen drin. Eine Mischung aus geheimer Soße und offenen Zutaten. Wir wissen es noch nicht. Das Unternehmen hat nicht geklärt, ob tatsächlich etwas Einzigartiges gestohlen wurde, das über das hinausgeht, was bereits im Internet sichtbar ist.
Sie töteten den gestohlenen Token sofort. Habe die Türen verschlossen. Zur Sicherheit wurden neue Schlösser hinzugefügt.
Vergleichen Sie dies mit Instructure. Der Bildungstechnologieriese? Sie haben bezahlt. Man habe „eine Einigung erzielt“. Klingt sauber. Sogar professionell.
Die Hacker von Instructure hatten das Netzwerk zweimal kompromittiert. Zweimal. Dann drohten sie damit, Daten über Mitarbeiter und Studenten preiszugeben. Massenchaos. Website unkenntlich gemacht. Instruct schneidet den Scheck ab.
Grafana lehnte ab.
Natürlich unter Berufung auf das FBI. Der Rat ändert sich nie. Zahlen Sie nicht. Sie erhalten Ihre Daten immer noch nicht zurück. Die Kriminellen veröffentlichen das Leak trotzdem. Und jetzt? Sie haben gerade den nächsten Angriff finanziert.
Kritiker hassen Ransomware. Alle sind sich einig, dass das Bezahlen schlecht aussieht. Aber tun?
Grafanas Ermittlungen dauern an. Sie versprechen, die Ergebnisse später weiterzugeben. Immer das „zu bestimmende“.
Der Code verbleibt vorerst auf ihren Servern. Oder vielleicht ist es da draußen. Ist es wichtig? Es war sowieso öffentlich.
Bei der Frage geht es jedoch nicht wirklich um den Code. Es geht ums Prinzip. Oder Hebelwirkung.
Wer hat die Macht, wenn das Schloss geöffnet ist, die Schatztruhe aber nie vollständig verschlossen war?
Noch scheint niemand sicher zu sein.
