Grafana Labs, das Unternehmen hinter dem Open-Source-Webvisualisierungstool, das zum Liebling von Dashboard-Enthusiasten geworden ist, hat bestätigt, gehackt worden zu sein – und dass es das Lösegeld nicht zahlen wird, denn der betreffende Code war, in einer überraschenden Wendung, bereits Open Source.
In einer Reihe von Social-Media-Beiträgen, die sich wie ein Cybersicherheitsvorfallbericht lesen, der von jemandem geschrieben wurde, der diesen Film schon gesehen hat, enthüllte das Unternehmen, dass ein gestohlenes Token-Zugangsdaten den Hackern Zugang zu seiner GitLab-Umgebung verschaffte. Das Token gewährte keinen Zugriff auf Kundendaten oder Finanzinformationen, erlaubte den Hackern jedoch, die Quellcode-Repositories des Unternehmens herunterzuladen. Grafana hat das Token inzwischen ungültig gemacht und zusätzliche Sicherheitsmaßnahmen ergriffen, denn nichts sagt „Lehre gelernt“ wie ein Passwort-Reset und ein strenges Memo.
„Der Angreifer versuchte, uns zu erpressen und forderte Zahlung, um die Veröffentlichung unseres Codebestands zu verhindern“, erklärte das Unternehmen, vermutlich mit einem Seufzer und einem langsamen Blinzeln. Da Grafanas Code Open Source und für jedermann öffentlich zum Herunterladen, Bearbeiten und Ausführen auf eigenen Rechnern verfügbar ist, ist die Erpressungsdrohung etwa so effektiv wie die Drohung zu enthüllen, dass die Assistentin eines Magiers die ganze Zeit eingeweiht war. Es bleibt unklar, ob die Hacker proprietären Code oder Informationen gestohlen haben, aber der Sprecher des Unternehmens hat nicht sofort auf eine Bitte um Stellungnahme reagiert, wahrscheinlich weil er zu beschäftigt damit war, eine höfliche Art zu finden zu sagen: „Wir zahlen nicht für einen Dienst, den wir bereits kostenlos anbieten.“
Dieser Vorfall steht in starkem Kontrast zu dem jüngsten Hack beim Bildungstechnologie-Riesen Instructure, der letzte Woche eine „Vereinbarung“ traf, um Hacker zu bezahlen, die sein Netzwerk in den letzten Wochen zweimal kompromittiert hatten. Instructures Hacker forderten ein nicht näher bezeichnetes Lösegeld und drohten, gestohlene Daten über Mitarbeiter und Studenten zu veröffentlichen, nach einem massiven Datenleck und einer anschließenden Website-Verunstaltung. Grafaba hingegen berief sich auf die langjährige Empfehlung des FBI, Opfer nicht zu zahlen, denn mit Kriminellen zu kooperieren ist etwa so zuverlässig wie eine kostenlose WLAN-Verbindung am Flughafen. Kritiker merken auch an, dass die Zahlung an Cyberkriminelle nur zukünftige Angriffe finanziert, was so ist, als würde man einem Räuber sein Portemonnaie geben, damit er sich einen besseren Brecheisen kaufen kann.
Grafana sagte, seine Untersuchungen seien noch im Gange und werde seine Ergebnisse teilen, sobald sie abgeschlossen sind – vermutlich in einem öffentlichen Repository, denn warum auch nicht?