Grafana Labs, açık kaynaklı web görselleştirme aracının arkasındaki şirket -ki bu araç dashboard meraklılarının gözdesi haline geldi- hacklendiğini ve fidyeyi ödemeyeceğini doğruladı, çünkü söz konusu kod bir sürprizle zaten açık kaynaktı.
Bir dizi sosyal medya gönderisinde -ki bu gönderiler daha önce bu filmi izlemiş birinin yazdığı siber güvenlik olay raporunu andırıyordu- şirket, çalınan bir token kimlik bilgisinin bilgisayar korsanlarına GitLab ortamına erişim sağladığını açıkladı. Token, müşteri kayıtlarına veya finansal verilere erişim izni vermiyordu, ancak bilgisayar korsanlarının şirketin kaynak kodu depolarını indirmesine izin verdi. Grafana, token'ı geçersiz kıldı ve ek güvenlik önlemleri ekledi, çünkü "ders alındı" demenin en iyi yolu bir şifre sıfırlama ve sert bir nottur.
"Saldırgan bizi şantaj yapmaya çalıştı, kod tabanımızın yayınlanmasını önlemek için ödeme talep etti," dedi şirket, muhtemelen bir iç çekiş ve yavaş bir göz kırpmayla. Grafana'nın kodu açık kaynak olduğu ve herkesin indirip düzenleyip kendi makinelerinde çalıştırabileceği için, şantaj tehdidi bir sihirbazın asistanının işin içinde olduğunu ifşa etmekle tehdit etmek kadar etkili. Bilgisayar korsanlarının herhangi bir özel kod veya bilgi çalıp çalmadığı belirsizliğini korurken, şirket sözcüsü hemen bir yorum talebine yanıt vermedi, muhtemelen "zaten ücretsiz sağladığımız bir hizmet için ödeme yapmayacağız" demenin kibar bir yolunu bulmaya çalışıyordu.
Bu olay, geçen hafta ağına iki kez sızan bilgisayar korsanlarına "bir anlaşmaya varan" eğitim teknolojisi devi Instructure'daki son hack ile tam bir tezat oluşturuyor. Instructure'ın bilgisayar korsanları, büyük bir veri ihlali ve ardından web sitesinin tahrif edilmesinin ardından personel ve öğrenciler hakkında çalınan verileri yayınlamakla tehdit ederek belirtilmemiş bir fidye talep etti. Grafana ise FBI'ın kurbanlara bilgisayar korsanlarına ödeme yapmamaları yönündeki uzun süredir devam eden tavsiyesine atıfta bulundu, çünkü suçlularla işbirliği yapmak havaalanındaki ücretsiz Wi-Fi bağlantısı kadar güvenilirdir. Eleştirmenler ayrıca siber suçlulara ödeme yapmanın gelecekteki saldırıları finanse ettiğini belirtiyor, bu da bir soyguncuya daha iyi bir levye alabilmesi için cüzdanını vermek gibi bir şey.
Grafana, soruşturmasının devam ettiğini ve bulgularını tamamlandığında paylaşacağını söyledi - muhtemelen halka açık bir depoda, çünkü bu noktada neden olmasın?