È un altro martedì. Un’altra perdita. Un’altra minaccia.
Grafana Labs, le persone dietro quel popolare strumento di visualizzazione open source da cui tutti dipendiamo, afferma che la loro base di codice è stata compromessa.
Un grosso problema? Forse no. Decisamente preoccupante.
Hanno confermato la violazione sui social media, che ora sembra stranamente normale. L’indagine ha dimostrato che gli aggressori non hanno rotto un muro; hanno trovato una porta aperta. Nello specifico, una credenziale token rubata. Ha dato loro l’accesso all’ambiente GitHub di Grafana in cui risiede il codice sorgente.
Hanno ottenuto i dati dei clienti? No. Dati finanziari? No. Solo il codice.
L’aggressore ha tentato di ricattarci. Esigere il pagamento per impedire il rilascio.
Questo è il nocciolo della questione. Estorsione. Semplice e schietto.
Ecco il problema. Il codice di Grafana è open source. È pubblico. Chiunque abbia Internet può scaricarlo. Possono modificarlo. Possono eseguirlo.
Allora perché minacciare di far trapelare qualcosa che tutti possono già vedere?
Forse c’è anche roba proprietaria lì dentro. Un mix di salsa segreta e ingredienti aperti. Non lo sappiamo ancora. L’azienda non ha chiarito se sia stato effettivamente rubato qualcosa di unico oltre a quanto già visibile sul web.
Hanno ucciso immediatamente il gettone rubato. Chiuse le porte. Aggiunti nuovi blocchi per buona misura.
Confrontalo con Instructure. Il gigante della tecnologia educativa? Hanno pagato. Hanno “raggiunto un accordo”. Sembra pulito. Professionale, addirittura.
Gli hacker di Instructure avevano compromesso la rete due volte. Due volte. Poi hanno minacciato di scaricare i dati sul personale e sugli studenti. Caos di massa. Sito web deturpato. L’infrastruttura ha staccato l’assegno.
Grafana rifiutò.
Citando l’FBI, ovviamente. Il consiglio non cambia mai. Non pagare. Non recupererai comunque i tuoi dati. I criminali continuano a pubblicare la fuga di notizie. E adesso? Hai appena finanziato il prossimo attacco.
I critici odiano il ransomware. Tutti concordano che pagare sia una brutta cosa. Ma farlo?
Le indagini di Grafana continuano. Promettono di condividere i risultati in seguito. Sempre il “da definire”.
Per ora, il codice rimane sui loro server. O forse è là fuori. Ha importanza? Era comunque pubblico.
Ma la domanda non riguarda realmente il codice. È una questione di principio. O leva.
Chi detiene il potere quando la serratura è aperta ma lo scrigno del tesoro non è mai stato completamente chiuso a chiave?
Nessuno sembra ancora sicuro.
