A Grafana Labs, empresa por trás da ferramenta de visualização web de código aberto que se tornou a queridinha dos entusiastas de dashboards em todo lugar, confirmou que foi hackeada - e que não pagará o resgate, porque o código em questão, em uma reviravolta, já era de código aberto.
Em uma série de postagens em redes sociais que parecem um relatório de incidente de segurança cibernética escrito por alguém que já viu esse filme antes, a empresa revelou que um token de credencial roubado deu aos hackers acesso ao seu ambiente GitLab. O token não concedeu acesso a registros de clientes ou dados financeiros, mas permitiu que os hackers baixassem os repositórios de código-fonte da empresa. A Grafana desde então invalidou o token e adicionou medidas de segurança adicionais, porque nada diz "lição aprendida" como uma redefinição de senha e um memorando severo.
"O atacante tentou nos chantagear, exigindo pagamento para impedir a liberação do nosso código-fonte," afirmou a empresa, presumivelmente com um suspiro e uma piscada lenta. Dado que o código da Grafana é de código aberto e publicamente disponível para qualquer um baixar, editar e executar em suas próprias máquinas, a ameaça de chantagem é tão eficaz quanto ameaçar revelar que o assistente do mágico estava envolvido o tempo todo. Ainda não está claro se os hackers roubaram algum código ou informação proprietária, mas o porta-voz da empresa não retornou imediatamente um pedido de comentário, provavelmente porque estava muito ocupado tentando encontrar uma maneira educada de dizer "não vamos pagar por um serviço que já fornecemos de graça."
Este incidente contrasta fortemente com o recente hack na gigante de tecnologia educacional Instructure, que na semana passada "chegou a um acordo" para pagar hackers que comprometeram sua rede duas vezes nas últimas semanas. Os hackers da Instructure exigiram um resgate não especificado, ameaçando liberar dados roubados sobre funcionários e alunos após uma enorme violação de dados e uma subsequente desfiguração do site. A Grafana, no entanto, citou o conselho de longa data do FBI instando as vítimas a não pagarem hackers, porque cooperar com criminosos é tão confiável quanto uma conexão Wi-Fi gratuita em um aeroporto. Críticos também observam que pagar cibercriminosos apenas financia futuros ataques, o que é como dar sua carteira a um assaltante para que ele possa comprar um pé de cabra melhor.
A Grafana disse que sua investigação está em andamento e compartilhará suas descobertas assim que concluída - presumivelmente em um repositório público, porque a essa altura, por que não?