Grafana Labs отказывается платить выкуп за код, который уже был открытым, потому что зачем?

Grafana Labs, компания, стоящая за инструментом визуализации с открытым исходным кодом, ставшим любимцем энтузиастов дашбордов повсюду, подтвердила, что была взломана — и что не будет платить выкуп, потому что код, как выяснилось, уже был открытым.

В серии постов в соцсетях, которые читаются как отчет о киберинциденте, написанный кем-то, кто уже видел этот фильм, компания сообщила, что украденный токен дал хакерам доступ к их среде GitLab. Токен не давал доступа к записям клиентов или финансовым данным, но позволил хакерам скачать репозитории исходного кода компании. Grafana с тех пор аннулировала токен и добавила дополнительные меры безопасности, потому что ничто так не говорит «урок усвоен», как сброс пароля и строгая памятка.

«Злоумышленник пытался шантажировать нас, требуя оплаты, чтобы предотвратить утечку нашей кодовой базы», — заявила компания, предположительно со вздохом и медленным морганием. Учитывая, что код Grafana является открытым и общедоступным для скачивания, редактирования и запуска на собственных машинах, угроза шантажа примерно так же эффективна, как угроза раскрыть, что ассистент фокусника был в курсе всё это время. Остается неясным, украли ли хакеры какой-либо проприетарный код или информацию, но представитель компании не сразу ответил на запрос комментария, вероятно, потому что был слишком занят поиском вежливого способа сказать: «мы не платим за услугу, которую уже предоставляем бесплатно».

Этот инцидент резко контрастирует с недавним взломом образовательного технологического гиганта Instructure, который на прошлой неделе «достиг соглашения» о выплате хакерам, дважды скомпрометировавшим их сеть за последние недели. Хакеры Instructure потребовали нераскрытый выкуп, угрожая опубликовать украденные данные о сотрудниках и студентах после масштабной утечки данных и последующего взлома веб-сайта. Grafana, однако, сослалась на давний совет ФБР, призывающий жертв не платить хакерам, потому что сотрудничество с преступниками так же надежно, как бесплатный Wi-Fi в аэропорту. Критики также отмечают, что выплата киберпреступникам лишь финансирует будущие атаки, что подобно тому, как отдать грабителю кошелек, чтобы он купил себе ломик получше.

Grafana заявила, что расследование продолжается, и поделится результатами после завершения — предположительно, в публичном репозитории, потому что на этом этапе почему бы и нет?