Het is weer een dinsdag. Nog een lek. Nog een bedreiging.
Grafana Labs – de mensen achter die populaire open source visualisatietool waar we allemaal afhankelijk van zijn – zegt dat hun codebase gecompromitteerd is.
Een groot probleem? Misschien niet. Absoluut zorgwekkend.
Ze bevestigden de inbreuk via sociale media, wat nu vreemd normaal aanvoelt. Uit het onderzoek bleek dat de aanvallers geen muur hadden doorbroken; ze vonden een niet-afgesloten deur. In het bijzonder een gestolen tokenreferentie. Het gaf hen toegang tot Grafana’s GitHub-omgeving waar de broncode zich bevindt.
Hebben ze klantgegevens gekregen? Nee. Financiële gegevens? Nee. Alleen de code.
De aanvaller probeerde ons te chanteren. Betaling eisen om de vrijlating te voorkomen.
Dat is de kern ervan. Afpersing. Simpel en bot.
Hier is de vangst. De code van Grafana is open source. Het is openbaar. Iedereen met internet kan het downloaden. Ze kunnen het bewerken. Ze kunnen het uitvoeren.
Dus waarom dreigen met het lekken van iets dat iedereen al kan zien?
Misschien zit daar ook eigen spul in. Een mix van geheime saus en open ingrediënten. We weten het nog niet. Het bedrijf heeft niet duidelijk gemaakt of er daadwerkelijk iets uniek is gestolen buiten wat al zichtbaar is op internet.
Ze hebben het gestolen token onmiddellijk gedood. De deuren op slot. Voor de goede orde nieuwe sloten toegevoegd.
Vergelijk dit met Instructure. De onderwijstechnologiegigant? Ze betaalden. Ze “bereikten een akkoord.” Klinkt schoon. Professioneel zelfs.
De hackers van Instructure hadden het netwerk twee keer gecompromitteerd. Tweemaal. Vervolgens dreigden ze gegevens over personeel en studenten te dumpen. Massale chaos. Website onleesbaar gemaakt. Instructeur heeft de cheque uitgeschreven.
Grafana weigerde.
Uiteraard onder verwijzing naar de FBI. Het advies verandert nooit. Betaal niet. U krijgt uw gegevens nog steeds niet terug. De criminelen publiceren het lek nog steeds. En nu? Je hebt zojuist de volgende aanval gefinancierd.
Critici haten ransomware. Iedereen is het erover eens dat betalen een slechte zaak is. Maar doe het?
Grafana’s onderzoek gaat door. Ze beloven hun bevindingen later te delen. Altijd het ‘nader te bepalen’.
Voorlopig blijft de code op hun servers staan. Of misschien is het daarbuiten. Maakt het uit? Het was toch openbaar.
Maar de vraag gaat niet echt over de code. Het gaat om het principe. Of hefboomwerking.
Wie heeft de macht als het slot open is, maar de schatkist überhaupt nooit volledig op slot is geweest?
Niemand lijkt er nog zeker van te zijn.
