É outra terça-feira. Outro vazamento. Outra ameaça.
Grafana Labs – o pessoal por trás daquela popular ferramenta de visualização de código aberto da qual todos dependemos – diz que sua base de código foi comprometida.
Problema? Talvez não. Definitivamente preocupante.
Eles confirmaram a violação nas redes sociais, o que parece estranhamente normal agora. A investigação mostrou que os agressores não quebraram uma parede; eles encontraram uma porta destrancada. Especificamente, uma credencial de token roubada. Isso lhes deu acesso ao ambiente GitHub do Grafana, onde reside o código-fonte.
Eles obtiveram registros de clientes? Não. Dados financeiros? Não. Apenas o código.
O invasor tentou nos chantagear. Exigindo pagamento para impedir a liberação.
Esse é o cerne da questão. Extorsão. Simples e direto.
Aqui está o problema. O código do Grafana é de código aberto. É público. Qualquer pessoa com internet pode baixá-lo. Eles podem editá-lo. Eles podem executá-lo.
Então, por que ameaçar vazar algo que todos já podem ver?
Talvez haja coisas proprietárias lá também. Uma mistura de molho secreto e ingredientes abertos. Ainda não sabemos. A empresa não esclareceu se algo único foi realmente roubado além do que já está visível na web.
Eles mataram o token roubado imediatamente. Tranquei as portas. Adicionados novos bloqueios para garantir.
Compare isso com Inestrutura. O gigante da tecnologia educacional? Eles pagaram. Eles “chegaram a um acordo”. Parece limpo. Profissional, até.
Os hackers da Instructure comprometeram a rede duas vezes. Duas vezes. Depois ameaçaram despejar dados sobre funcionários e estudantes. Caos em massa. Site desfigurado. A estrutura cortou o cheque.
Grafana recusou.
Citando o FBI, obviamente. O conselho nunca muda. Não pague. Você ainda não receberá seus dados de volta. Os criminosos ainda publicam o vazamento. E agora? Você acabou de financiar o próximo ataque.
Os críticos odeiam ransomware. Todos concordam que pagar é uma má aparência. Mas faça isso?
A investigação de Grafana continua. Eles prometem compartilhar as descobertas mais tarde. Sempre o “a ser determinado”.
Por enquanto, o código permanece em seus servidores. Ou talvez esteja lá fora. Isso importa? De qualquer forma, era público.
Mas a questão não é realmente sobre o código. É uma questão de princípio. Ou alavancagem.
Quem detém o poder quando a fechadura está aberta, mas o baú do tesouro nunca foi totalmente trancado?
Ninguém parece ter certeza ainda.
