Grafana стоїть на своєму: ми не заплатимо хакерам, які вкрали наш код
Це лише звичайний вівторок. Новий витік. Нова небезпека.
Grafana Labs – творці популярного інструменту візуалізації з відкритим вихідним кодом, від якого ми всі тією чи іншою мірою залежимо – повідомляють про злом своєї кодової бази.
Чи це серйозно? Можливо, і ні. Але безперечно тривожно.
Компанія підтвердила факт злому через соціальні мережі, що у наші дні здається дивним чином нормальним. Розслідування показало, що зловмисники не зламали стіни, а просто знайшли двері без замку. А саме були вкрадені облікові дані у вигляді токена. Це дало їм доступ до середовища GitHub Grafana, де зберігається вихідний код.
Чи отримали хакери записи клієнтів? Ні. Фінансові дані? Ні. Лише код.
Зловмисник спробував нас змусити виплати, вимагаючи гроші, щоб запобігти публікації даних.
У цьому є суть. Вимагання. Просто та прямо.
А тепер найцікавіша частина. Код Grafana має вихідний вихідний код. Він публічний. Будь-який користувач з доступом до Інтернету може завантажити його. Змінити. Запустити.
То навіщо загрожувати витіканням того, що кожен може побачити?
Можливо, у репозиторії є й пропрієтарні компоненти. Суміш секретних інгредієнтів та відкритих рецептур. Поки що точно невідомо. Компанія не уточнила, чи було вкрадено щось дійсно унікальне, що виходить за рамки того, що вже видно в мережі.
Вкрадений токен був негайно деактивований. Двері зачинені. Для надійності встановлені нові замки.
Подивіться порівняння на Instructure. Цей велетень освітніх технологій заплатив викуп. Вони «досягнули угоди». Звучить чисто. Професійно.
Хакери, які зламали Instructure, порушували безпеку мережі двічі. Двічі. Потім вони погрожували оприлюднити дані співробітників та студентів. Масовий хаос. Сайт був опоганений. Уструктурі виписали чек.
Grafana відмовилася платити.
Вони послалися ФБР, зрозуміло. Поради там незмінні: не платіть. Ви все одно не повернете свої дані. Злочинці все одно опублікують витік. А тепер? Ви просто профінансували наступну атаку.
Критики ненавидять програми-здирники. Усі згодні: оплата викупу – це поганий прецедент. Але чи платите ви насправді?
Розслідування у Grafana триває. Компанія обіцяє поділитися результатами пізніше. Вічно те саме: «буде визначено пізніше».
Поки що код залишається на серверах. Або, можливо, він уже у мережі. Чи має це значення? Він і так був громадським.
Але питання тут не в самому коді. Запитання в принципі. Або в важелях тиску.
Хто має владу, коли замок відкритий, а скриня зі скарбами спочатку не була повністю замкнена?
Поки що ніхто не знає відповіді напевно.
