Grafana Labs признала взлом токена доступа к GitHub-окружению

Организация Grafana Labs, разработчик популярного программного обеспечения для визуализации веб-контента с открытым исходным кодом, подтвердила факт взлома токена доступа к GitHub-окружению. При этом она отказалась платить хакерам, угрожавшим опубликовать исходник компании.

Авторы заявили, что хакеры злоупотребили украденным токеном, который предоставлял доступ к среде GitHub. Она используется для хранения исходного кода компании, но не позволяет получить доступ к записям клиентов или финансовым данным. С тех пор компания аннулировала токен и добавила дополнительные меры безопасности для предотвращения повторения инцидента. «Злоумышленник пытался шантажировать нас, требуя оплаты за предотвращение публикации нашего кода», — заявили там.

Код Grafana является открытым и общедоступным, а это означает, что любой может скачать программное обеспечение и отредактировать его перед запуском на своем компьютере. Неясно, украли ли хакеры какой-либо конфиденциальный код или информацию. Представитель компании не сразу ответил на запрос о комментарии.

Этот инцидент контрастирует с недавним взломом сети образовательного технологического гиганта Instructure, который на прошлой неделе достиг соглашения с хакерами о выплате вознаграждения после взлома. Злоумышленники угрожали опубликовать украденные данные о сотрудниках и студентах, использующих программное обеспечение.

В случае с Grafana данные клиентов не были украдены, и организация сослалась на давний совет ФБР, призывающий не платить хакерам, поскольку партнёрство с ними не гарантирует возврата украденных данных или отказа от их последующей публикации. Критики также утверждают, что выплата компенсаций киберпреступникам помогает финансировать будущие кибератаки.

В Grafana заявили, что расследование продолжается, и его результатами поделятся после завершения.