Grafana Labs,这家开源网络可视化工具背后的公司——该工具已成为仪表盘爱好者的心头好——已确认遭到黑客攻击,并且不会支付赎金,因为被窃取的代码,剧情反转,本来就是开源的。
在一系列社交媒体帖子中(读起来就像是一个看过类似剧情的人写的网络安全事件报告),该公司透露,一个被盗的令牌凭证让黑客得以访问其 GitLab 环境。该令牌并未授予客户记录或财务数据的访问权限,但确实允许黑客下载公司的源代码仓库。Grafana 随后撤销了该令牌并增加了额外的安全措施,因为没有什么比重置密码和一份严厉的备忘录更能体现“吸取教训”了。
“攻击者试图勒索我们,要求支付赎金以阻止代码库的泄露,”该公司声明道,大概伴随着一声叹息和缓慢的眨眼。鉴于 Grafana 的代码是开源的,任何人都可以公开下载、编辑并在自己的机器上运行,这种勒索威胁基本上等同于威胁要揭露魔术师的助手一直在配合表演。目前尚不清楚黑客是否窃取了任何专有代码或信息,但公司发言人没有立即回应置评请求,很可能是因为他们正忙着寻找一种礼貌的方式来表达“我们不会为已经免费提供的服务付费”。
这一事件与教育科技巨头 Instructure 最近的遭遇形成鲜明对比。上周,Instructure“达成协议”向黑客支付赎金,这些黑客在最近几周内两次入侵其网络。Instructure 的黑客要求一笔未公开的赎金,威胁要在大规模数据泄露和随后的网站篡改后公布员工和学生的数据。然而,Grafana 引用了 FBI 长期以来的建议,敦促受害者不要向黑客支付赎金,因为与犯罪分子合作就像机场的免费 Wi-Fi 连接一样可靠。批评者还指出,向网络罪犯支付赎金只会助长未来的攻击,这就像把钱包交给劫匪,好让他们买一把更好的撬棍。
Grafana 表示调查仍在进行中,并将在完成后分享调查结果——大概会放在一个公共仓库里,因为到了这个地步,何乐而不为呢?