Ini hari Selasa yang lain. Kebocoran lainnya. Ancaman lain.
Grafana Labs – orang-orang di balik alat visualisasi open source populer yang kita semua andalkan – mengatakan basis kode mereka telah disusupi.
Masalah besar? Mungkin tidak. Benar-benar memprihatinkan.
Mereka mengkonfirmasi pelanggaran tersebut melalui media sosial, yang saat ini terasa normal. Investigasi menunjukkan para penyerang tidak mendobrak tembok; mereka menemukan pintu yang tidak terkunci. Khususnya, kredensial token yang dicuri. Ini memberi mereka akses ke lingkungan GitHub Grafana tempat kode sumber berada.
Apakah mereka mendapatkan catatan pelanggan? Tidak. Data keuangan? Tidak. Hanya kodenya.
Penyerang berusaha memeras kami. Menuntut pembayaran untuk mencegah pelepasan.
Itulah intinya. Pemerasan. Sederhana dan blak-blakan.
Inilah hasil tangkapannya. Kode Grafana adalah open source. Itu untuk umum. Siapa pun yang memiliki internet dapat mengunduhnya. Mereka dapat mengeditnya. Mereka bisa menjalankannya.
Jadi mengapa mengancam untuk membocorkan sesuatu yang sudah dapat dilihat semua orang?
Mungkin ada barang eksklusif di sana juga. Campuran saus rahasia dan bahan terbuka. Kami belum tahu. Perusahaan belum mengklarifikasi apakah sesuatu yang unik benar-benar dicuri selain dari apa yang sudah terlihat di web.
Mereka segera membunuh token yang dicuri itu. Mengunci pintu. Menambahkan kunci baru untuk pengukuran yang baik.
Bandingkan ini dengan Instruktur. Raksasa teknologi pendidikan? Mereka membayar. Mereka “mencapai kesepakatan”. Kedengarannya bersih. Bahkan profesional.
Peretas Instruktur telah menyusupi jaringan dua kali. Dua kali. Kemudian mereka mengancam akan membuang data staf dan siswa. Kekacauan massal. Situs web dirusak. Instruktur memotong cek.
Grafana menolak.
Mengutip FBI, tentu saja. Nasihatnya tidak pernah berubah. Jangan membayar. Anda tetap tidak akan mendapatkan data Anda kembali. Para penjahat masih mempublikasikan kebocoran tersebut. Dan sekarang? Anda baru saja mendanai serangan berikutnya.
Kritikus membenci ransomware. Semua orang setuju bahwa membayar adalah hal yang buruk. Tapi melakukannya?
Investigasi Grafana berlanjut. Mereka berjanji untuk membagikan temuannya nanti. Selalu “harus ditentukan”.
Untuk saat ini, kode tersebut tetap berada di server mereka. Atau mungkin itu ada di luar sana. Apakah itu penting? Lagipula itu bersifat publik.
Tapi pertanyaannya bukan tentang kodenya. Ini tentang prinsip. Atau pengaruh.
Siapa yang memegang kekuasaan ketika kuncinya terbuka tetapi peti harta karun tidak pernah terkunci sepenuhnya?
Sepertinya belum ada yang yakin.
