Grafana Labs, l'azienda dietro lo strumento di visualizzazione open source che è diventato il beniamino degli appassionati di dashboard ovunque, ha confermato di essere stata hackerata - e che non pagherà il riscatto, perché il codice in questione era, in un colpo di scena, già open source.
In una serie di post sui social media che sembrano un rapporto di incidente informatico scritto da qualcuno che ha già visto questo film, l'azienda ha rivelato che una credenziale token rubata ha dato agli hacker accesso al suo ambiente GitLab. Il token non ha concesso accesso ai dati dei clienti o finanziari, ma ha permesso agli hacker di scaricare i repository del codice sorgente dell'azienda. Grafana ha da allora invalidato il token e aggiunto ulteriori misure di sicurezza, perché niente dice "lezione imparata" come un reset della password e un memo severo.
"L'attaccante ha tentato di ricattarci, chiedendo un pagamento per impedire la pubblicazione del nostro codice," ha dichiarato l'azienda, presumibilmente con un sospiro e un lento battito di ciglia. Dato che il codice di Grafana è open source e disponibile pubblicamente per chiunque lo scarichi, modifichi ed esegua sulle proprie macchine, la minaccia di ricatto è efficace quanto minacciare di rivelare che l'assistente del mago era d'accordo fin dall'inizio. Non è chiaro se gli hacker abbiano rubato codice proprietario o informazioni, ma il portavoce dell'azienda non ha immediatamente risposto a una richiesta di commento, probabilmente perché troppo impegnato a cercare un modo educato per dire "non paghiamo per un servizio che già forniamo gratuitamente".
Questo incidente contrasta nettamente con il recente hack di Instructure, colosso della tecnologia educativa, che la scorsa settimana ha "raggiunto un accordo" per pagare gli hacker che avevano compromesso la sua rete due volte nelle ultime settimane. Gli hacker di Instructure hanno chiesto un riscatto non specificato, minacciando di pubblicare dati rubati su personale e studenti dopo una massiccia violazione dei dati e un successivo deturpamento del sito web. Grafana, invece, ha citato il consiglio di lunga data dell'FBI che esorta le vittime a non pagare gli hacker, perché collaborare con i criminali è affidabile quanto una connessione Wi-Fi gratuita in aeroporto. I critici notano anche che pagare i criminali informatici finanzia solo futuri attacchi, il che è come dare il portafoglio a un rapinatore così che possa comprarsi un piede di porco migliore.
Grafana ha dichiarato che le sue indagini sono in corso e condividerà i risultati una volta completati - presumibilmente in un repository pubblico, perché a questo punto, perché no?