To po prostu zwykły wtorek. Nowy wyciek. Nowe zagrożenie.
Grafana Labs, twórcy popularnego narzędzia do wizualizacji typu open source, od którego wszyscy w pewnym stopniu polegamy, zgłaszają, że ich baza kodów została zhakowana.
Czy to poważne? Może nie. Ale na pewno niepokojące.
Firma potwierdziła włamanie za pośrednictwem mediów społecznościowych, co obecnie wydaje się dziwnie normalne. Dochodzenie wykazało, że intruzi nie włamali się do ściany, a po prostu znaleźli drzwi bez zamka. Mianowicie skradziono dane uwierzytelniające w postaci tokena. Dało im to dostęp do środowiska GitHub Grafana, w którym przechowywany jest kod źródłowy.
Czy hakerzy uzyskali dane klientów? Nie. Dane finansowe? Nie. Tylko kod.
Osoba atakująca próbowała wymusić na nas zapłatę okupu, żądając pieniędzy, aby uniemożliwić publikację danych.
O to właśnie chodzi. Wymuszenie. Proste i bezpośrednie.
Teraz nadchodzi interesująca część. Kod Grafany jest kodem open source. To publiczne. Może ją pobrać każdy użytkownik posiadający dostęp do Internetu. Zmiana. Początek.
Po co więc grozić ujawnieniem czegoś, co wszyscy już widzą?
W repozytorium mogą znajdować się również zastrzeżone komponenty. Mieszanka tajnych składników i otwartych receptur. Nie wiadomo jeszcze na pewno. Firma nie określiła, czy skradziono coś naprawdę wyjątkowego, poza tym, co można już zobaczyć w Internecie.
Skradziony token został natychmiast dezaktywowany. Drzwi są zamknięte. Dla bezpieczeństwa zamontowano nowe zamki.
Dla porównania spójrz na Instructure. Gigant edtech zapłacił okup. „Osiągnęli porozumienie”. Brzmi czysto. Zawodowo.
Hakerzy, którzy włamali się do Instructure, dwukrotnie złamali bezpieczeństwo sieci. Dwa razy. Następnie zagrozili ujawnieniem danych pracowników i studentów. Masowy chaos. Miejsce zostało zbezczeszczone. Infrastruktura wypisała czek.
Grafana odmówiła zapłaty.
Oczywiście powoływali się na FBI. Rada tam niezmienna: nie płać. I tak nie odzyskasz swoich danych. Przestępcy i tak opublikują wyciek. A teraz? Po prostu sfinansowałeś następny atak.
Krytycy nienawidzą oprogramowania ransomware. Wszyscy się zgadzają: płacenie okupu to zły precedens. Ale czy faktycznie płacisz?
Dochodzenie w sprawie Grafany jest w toku. Firma obiecuje podzielić się wynikami później. Zawsze to samo: „do ustalenia później”.
Na razie kod pozostaje na ich serwerach. A może jest już online. Czy to ma znaczenie? Był już publiczny.
Ale tutaj problemem nie jest sam kod. Pytanie jest zasadniczo. Lub w dźwigniach dociskowych.
Kto ma władzę, gdy zamek jest otwarty, a skrzynia skarbów nie była od początku całkowicie zamknięta?
Nikt jeszcze nie zna odpowiedzi na pewno.
