Это всего лишь обычный вторник. Новая утечка. Новая угроза.
Grafana Labs — создатели популярного инструмента визуализации с открытым исходным кодом, от которого мы все в той или иной степени зависим — сообщают о взломе своей кодовой базы.
Серьезно ли это? Может быть и нет. Но определенно тревожно.
Компания подтвердила факт взлома через социальные сети, что в наши дни кажется странным образом нормальным. Расследование показало, что злоумышленники не взломали стену, а просто нашли дверь без замка. А именно — были украдены учетные данные в виде токена. Это дало им доступ в среду GitHub Grafana, где хранится исходный код.
Получили ли хакеры записи клиентов? Нет. Финансовые данные? Нет. Только код.
Злоумышленник попытался нас вынудить к выплате выкупа, требуя деньги, чтобы предотвратить публикацию данных.
В этом суть. Вымогательство. Просто и прямо.
А теперь самая интересная часть. Код Grafana имеет открытый исходный код. Он публичный. Любой пользователь с доступом в интернет может скачать его. Изменить. Запустить.
Так зачем угрожать утечкой того, что каждый уже может увидеть?
Возможно, в репозитории есть и проприетарные компоненты. Смесь секретных ингредиентов и открытых рецептур. Пока точно неизвестно. Компания не уточнила, было ли украдено что-то действительно уникальное, выходящее за рамки того, что уже видно в сети.
Украденный токен был немедленно деактивирован. Двери закрыты. Для надежности установлены новые замки.
Посмотрите для сравнения на Instructure. Этот гигант образовательных технологий заплатил выкуп. Они «достигли соглашения». Звучит чисто. Профессионально.
Хакеры, взломавшие Instructure, нарушали безопасность сети дважды. Дважды. Затем они угрожали обнародовать данные сотрудников и студентов. Массовый хаос. Сайт был осквернен. Instructure выписала чек.
Grafana отказалась платить.
Они сослались на ФБР, разумеется. Советы там неизменны: не платите. Вы все равно не вернете свои данные. Преступники все равно опубликуют утечку. А теперь? Вы просто профинансировали следующую атаку.
Критики ненавидят программы-вымогатели. Все согласны: оплата выкупа — это плохой прецедент. Но платите ли вы на самом деле?
Расследование в Grafana продолжается. Компания обещает поделиться результатами позже. Вечно одно и то же: «будет определено позже».
Пока что код остается на их серверах. Или, возможно, он уже в сети. Имеет ли это значение? Он и так был публичным.
Но вопрос здесь не в самом коде. Вопрос в принципе. Или в рычагах давления.
Кто обладает властью, когда замок открыт, а сундук с сокровищами изначально не был полностью заперт?
Пока никто не знает ответа наверняка.
