オープンソースのWeb可視化ツールでダッシュボード愛好家の間で人気を博すGrafana Labsが、ハッキング被害を確認し、身代金を支払わないと発表した。問題のコードは、なんと既にオープンソースだったからだ。
同社は、まるでこの手の話を何度も見てきたかのようなサイバーセキュリティインシデント報告書を思わせる一連のソーシャルメディア投稿で、盗まれたトークン認証情報によりハッカーがGitLab環境にアクセスしたことを明らかにした。このトークンは顧客記録や財務データへのアクセスは許可しなかったが、ハッカーは同社のソースコードリポジトリをダウンロードできた。Grafanaはその後トークンを無効化し、追加のセキュリティ対策を実施した。パスワードリセットと厳重なメモほど「教訓を学んだ」ことを示すものはない。
「攻撃者は私たちを脅迫し、コードベースの公開を防ぐために支払いを要求しました」と同社は述べた。おそらくため息とゆっくりしたまばたきを伴って。Grafanaのコードはオープンソースで誰でもダウンロード、編集、実行できるため、この脅迫はマジシャンのアシスタントが最初からグルだったことを暴露すると脅すのと同じくらい効果的だ。ハッカーがプロプライエタリなコードや情報を盗んだかどうかは不明だが、同社の広報担当者はすぐにコメントの要請に応じなかった。おそらく「私たちが無料で提供しているサービスにお金を払えと言われてもね」と丁寧に言う方法を考えているところだろう。
この事件は、教育テクノロジー大手Instructureが最近、ネットワークを2度侵害したハッカーに「合意に達した」と発表したのとは対照的だ。Instructureのハッカーは不特定の身代金を要求し、大規模なデータ漏洩とその後のWebサイト改ざんの後、職員と学生のデータを公開すると脅した。一方、GrafanaはFBIの長年のアドバイス——被害者にハッカーへの支払いを控えるよう促す——を引用した。犯罪者と協力するのは、空港の無料Wi-Fi接続と同じくらい信頼性が低いからだ。批評家はまた、サイバー犯罪者への支払いは将来の攻撃の資金源になる、つまり、強盗に財布を渡してより良いバールを買わせるようなものだと指摘する。
Grafanaは調査を継続中で、完了次第結果を共有すると述べている——おそらく公開リポジトリで。この時点で、なぜそうしないのか?