Grafana Labs, 대시보드 애호가들의 사랑을 받는 오픈소스 웹 시각화 도구의 개발사가 해킹을 당했으며, 몸값을 지불하지 않을 것이라고 확인했습니다. 문제의 코드는 반전이 있게도 이미 오픈소스였기 때문입니다.
이미 이 영화를 본 사람이 쓴 사이버보안 사고 보고서 같은 일련의 소셜 미디어 게시물에서, 회사는 도난당한 토큰 자격 증명으로 해커들이 GitLab 환경에 접근했다고 밝혔습니다. 토큰은 고객 기록이나 금융 데이터에 접근할 수 없었지만, 해커들이 회사의 소스 코드 저장소를 다운로드할 수는 있었습니다. Grafana는 이후 토큰을 무효화하고 추가 보안 조치를 추가했습니다. 비밀번호 재설정과 엄중한 메모만큼 '교훈을 얻었다'는 말이 어디 있겠습니까?
"공격자가 우리를 협박하여 코드베이스 공개를 막기 위해 지불을 요구했습니다,"라고 회사는 한숨과 느린 눈 깜빡임과 함께 말한 것으로 보입니다. Grafana의 코드는 오픈소스이며 누구나 다운로드, 편집, 실행할 수 있기 때문에, 협박 위협은 마술사의 조수가 항상 공모자였다는 사실을 폭로하겠다는 협박만큼 효과적입니다. 해커들이 독점 코드나 정보를 훔쳤는지는 불분명하지만, 회사 대변인은 즉시 논평 요청에 응답하지 않았습니다. 아마도 '우리가 이미 무료로 제공하는 서비스에 대해 돈을 내지 않겠다'는 말을 정중하게 표현할 방법을 찾느라 바빴을 것입니다.
이 사건은 최근 교육 기술 대기업 Instructure의 해킹과 대조를 이룹니다. Instructure는 지난 몇 주 동안 네트워크를 두 번 침해한 해커들과 '합의에 도달'했습니다. Instructure의 해커들은 막대한 데이터 유출과 이후 웹사이트 훼손 이후 직원과 학생에 대한 도난 데이터를 공개하겠다고 협박하며 불특정 몸값을 요구했습니다. 반면 Grafana는 FBI의 오랜 조언을 인용하여 피해자들에게 해커에게 돈을 지불하지 말라고 촉구했습니다. 범죄자와 협력하는 것은 공항의 무료 Wi-Fi 연결만큼 신뢰할 수 없기 때문입니다. 비평가들은 또한 사이버 범죄자에게 돈을 지불하는 것은 미래의 공격에 자금을 대는 것과 같으며, 이는 강도에게 지갑을 주어 더 좋은 지렛대를 사게 하는 것과 같다고 지적합니다.
Grafana는 조사가 진행 중이며 완료되면 결과를 공유할 것이라고 밝혔습니다. 아마도 공개 저장소에 올릴 것입니다. 이쯤 되면 왜 안 하겠습니까?