Компания Grafana Labs, разработчик популярного программного обеспечения для визуализации веб-контента с открытым исходным кодом, подтвердила факт взлома токена доступа к GitHub-окружению. При этом она отказалась платить хакерам, угрожавшим опубликовать код компании.
Разработчики заявили, что хакеры злоупотребили украденным токеном, который предоставлял доступ к среде GitHub. Она используется для хранения исходного кода компании, но не позволяет получить доступ к записям клиентов или финансовым данным. С тех пор компания аннулировала токен и добавила дополнительные меры безопасности для предотвращения повторения инцидента. «Злоумышленник пытался шантажировать нас, требуя оплаты за предотвращение публикации нашего кода», — заявили там.
Код Grafana является открытым и общедоступным, а это означает, что любой может загрузить программное обеспечение и отредактировать его перед запуском на своем компьютере. Неясно, украли ли хакеры какой-либо конфиденциальный код или информацию. Представитель компании не сразу ответил на запрос о комментарии.
Этот инцидент контрастирует с недавним взломом сети образовательного технологического гиганта Instructure, который на прошлой неделе достиг соглашения с хакерами о выплате вознаграждения после взлома. Злоумышленники угрожали опубликовать украденные данные о сотрудниках и студентах, использующих программное обеспечение.
В случае с Grafana данные клиентов не были украдены, и компания сослалась на давний совет ФБР, призывающий не платить хакерам, поскольку сотрудничество с ними не гарантирует возврата украденных данных или отказа от их последующей публикации. Критики также утверждают, что выплата компенсаций киберпреступникам помогает финансировать будущие кибератаки.
В Grafana заявили, что расследование продолжается, и его результатами поделятся после завершения.
