Grafana Labs, l'entreprise derrière l'outil de visualisation web open source devenu le chouchou des amateurs de tableaux de bord, a confirmé avoir été piratée – et qu'elle ne paiera pas la rançon, car le code en question était, rebondissement, déjà open source.
Dans une série de publications sur les réseaux sociaux qui ressemblent à un rapport d'incident de cybersécurité rédigé par quelqu'un qui a déjà vu ce film, l'entreprise a révélé qu'un jeton d'authentification volé a donné aux pirates l'accès à son environnement GitLab. Le jeton n'a pas permis d'accéder aux données clients ou financières, mais il a permis aux pirates de télécharger les dépôts de code source de l'entreprise. Grafana a depuis invalidé le jeton et ajouté des mesures de sécurité supplémentaires, car rien ne dit « leçon apprise » comme une réinitialisation de mot de passe et un mémo sévère.
« Le pirate a tenté de nous faire chanter, exigeant un paiement pour empêcher la divulgation de notre code source », a déclaré l'entreprise, probablement avec un soupir et un clignement lent. Étant donné que le code de Grafana est open source et accessible à tous pour téléchargement, modification et exécution sur leurs propres machines, la menace de chantage est aussi efficace que de menacer de révéler que l'assistant d'un magicien était de mèche depuis le début. On ne sait pas si les pirates ont volé des codes ou informations propriétaires, mais le porte-parole de l'entreprise n'a pas immédiatement répondu à une demande de commentaire, probablement trop occupé à chercher une manière polie de dire « nous ne payons pas pour un service que nous fournissons déjà gratuitement ».
Cet incident contraste fortement avec le piratage récent chez le géant de la technologie éducative Instructure, qui a « conclu un accord » la semaine dernière pour payer les pirates qui avaient compromis son réseau à deux reprises ces dernières semaines. Les pirates d'Instructure ont exigé une rançon non spécifiée, menaçant de divulguer des données volées sur le personnel et les étudiants après une fuite massive de données et une défiguration de site web. Grafana, quant à elle, a cité le conseil de longue date du FBI exhortant les victimes à ne pas payer les pirates, car coopérer avec des criminels est aussi fiable qu'une connexion Wi-Fi gratuite dans un aéroport. Les critiques notent également que payer des cybercriminels ne fait que financer de futures attaques, ce qui revient à donner son portefeuille à un agresseur pour qu'il puisse s'acheter un meilleur pied-de-biche.
Grafana a déclaré que son enquête est en cours et qu'elle partagera ses conclusions une fois terminées – probablement dans un dépôt public, car à ce stade, pourquoi pas ?