Grafana Labs thừa nhận toàn bộ mã nguồn bị đánh cắp sau khi tài khoản GitHub bị xâm nhập

Công ty chuyên cung cấp giải pháp giám sát và quan sát (observability) Grafana Labs vừa tiết lộ rằng một kẻ tấn công đã xâm nhập vào kho lưu trữ GitHub của họ và đánh cắp toàn bộ mã nguồn.

Trong các bài đăng trên mạng xã hội, công ty đã đổ lỗi cho một "bên trái phép" đã bằng cách nào đó có được một token (mã truy cập) cung cấp quyền truy cập vào môi trường GitHub của họ.

Grafana Labs cho biết họ tin rằng đã xác định được nguồn gây ra sự rò rỉ thông tin đăng nhập này. Do đó, công ty đã "hủy bỏ các thông tin xác thực bị xâm phạm và triển khai các biện pháp bảo mật bổ sung để bảo vệ môi trường của chúng tôi tốt hơn trước quyền truy cập trái phép."

Tuy nhiên, điều đó không ngăn cản kẻ tấn công đe dọa sẽ công bố mã nguồn của công ty trừ khi Grafana trả tiền chuộc.

Grafana tuyên bố họ sẽ không trả.

"Dựa trên kinh nghiệm vận hành của chúng tôi và quan điểm được công bố của Cục Điều tra Liên bang Hoa Kỳ (FBI), trong đó lưu ý rằng 'trả tiền chuộc không đảm bảo bạn hoặc tổ chức của bạn sẽ nhận lại bất kỳ dữ liệu nào' và chỉ 'tạo động lực cho những người khác tham gia vào loại hoạt động bất hợp pháp này', chúng tôi đã xác định con đường phù hợp về phía trước là không trả tiền chuộc," công ty viết.

Không rõ lập trường này hoàn toàn dựa trên nguyên tắc hay không, vì phần lớn sản phẩm của Grafana đã là mã nguồn mở. Các bài đăng của công ty gợi ý rằng kẻ tấn công đã truy cập vào mã không được cung cấp miễn phí.

The Register đã tìm cách làm rõ xem kẻ tấn công đã truy cập vào những gì, bởi vì nếu họ lấy đi mã chủ yếu là mã nguồn mở đã có sẵn, thì sẽ có rất ít lý do để Grafana phải trả tiền chuộc!

Quyết định không trả tiền của Grafana có thể dễ dàng hơn so với các nạn nhân khác của tội phạm mạng vì công ty cho biết họ "xác định rằng không có dữ liệu khách hàng hay thông tin cá nhân nào được truy cập trong sự cố này, và chúng tôi không tìm thấy bằng chứng nào về tác động đến hệ thống hoặc hoạt động của khách hàng."

Do đó, công ty dường như tự tin rằng bất kỳ mã nào mà kẻ tấn công tải xuống sẽ không tạo ra sự khác biệt đáng kể đối với hoạt động kinh doanh của họ, cũng như không gây hại cho khách hàng.

Điều này trái ngược hoàn toàn với gã khổng lồ phần mềm giáo dục Canvas, tuần trước đã phải trả tiền cho những kẻ tống tiền sau khi chúng tuyên bố đã đánh cắp dữ liệu mô tả hơn 275 triệu sinh viên và giảng viên.

The Register sẽ cập nhật câu chuyện này nếu chúng tôi nhận được thêm thông tin từ Grafana Labs.