Grafana Labs, het bedrijf achter de open source webvisualisatietool die een lieveling is geworden van dashboardliefhebbers overal, heeft bevestigd dat het is gehackt - en dat het geen losgeld zal betalen, omdat de code in kwestie, in een plotwending, al open source was.
In een reeks social media-berichten die leest als een cybersecurity-incidentrapport geschreven door iemand die deze film al eerder heeft gezien, onthulde het bedrijf dat een gestolen tokencredential hackers toegang gaf tot zijn GitLab-omgeving. Het token gaf geen toegang tot klantgegevens of financiële informatie, maar stelde de hackers wel in staat om de broncoderepositories van het bedrijf te downloaden. Grafana heeft het token sindsdien ongeldig gemaakt en extra beveiligingsmaatregelen toegevoegd, want niets zegt 'les geleerd' als een wachtwoordreset en een strenge memo.
'De aanvaller probeerde ons te chanteren en eiste betaling om vrijgave van onze codebase te voorkomen', verklaarde het bedrijf, vermoedelijk met een zucht en een langzame knipper. Aangezien Grafana's code open source is en voor iedereen vrij beschikbaar om te downloaden, bewerken en op eigen machines te draaien, is de chantagedreiging ongeveer zo effectief als dreigen te onthullen dat de assistent van een goochelaar er de hele tijd bij betrokken was. Het blijft onduidelijk of de hackers propriëtaire code of informatie hebben gestolen, maar de woordvoerder van het bedrijf reageerde niet onmiddellijk op een verzoek om commentaar, waarschijnlijk omdat ze te druk waren met het vinden van een beleefde manier om te zeggen: 'we betalen niet voor een dienst die we al gratis aanbieden.'
Dit incident staat in schril contrast met de recente hack bij onderwijstechnologiegigant Instructure, die vorige week 'een overeenkomst bereikte' om hackers te betalen die zijn netwerk tweemaal in de afgelopen weken hadden gecompromitteerd. De hackers van Instructure eisten een niet nader gespecificeerd losgeld en dreigden gestolen gegevens over personeel en studenten vrij te geven na een enorme datalek en een daaropvolgende website-vervorming. Grafana verwees echter naar het langdurige advies van de FBI dat slachtoffers aanraadt geen losgeld te betalen, omdat samenwerken met criminelen ongeveer zo betrouwbaar is als een gratis wifi-verbinding op een luchthaven. Critici merken ook op dat het betalen van cybercriminelen toekomstige aanvallen financiert, wat neerkomt op het geven van je portemonnee aan een overvaller zodat ze een betere koevoet kunnen kopen.
Grafana zei dat het onderzoek nog gaande is en de bevindingen zal delen zodra het klaar is - vermoedelijk in een openbare repository, want waarom ook niet?