Grafana Labs 遭遇了一起安全漏洞事件,一名员工在公共仓库中暴露了个人访问令牌。该令牌拥有高权限,使得攻击者能够克隆包含平台完整代码库的私有仓库。该事件最终演变为一次勒索企图,攻击者威胁若不支付赎金将泄露代码,这暴露了管理凭证疏忽所带来的风险。
高权限:攻击背后的技术失误 🔑
该员工的个人访问令牌拥有广泛的作用域,如 repo 和 workflow,这使攻击者能够完全控制私有仓库。Grafana Labs 确认客户数据或生产环境未被访问,但源代码(包括关键安全模块)已被下载。该公司轮换了凭证并审计了日志,但该事件凸显了限制权限以及使用 GitHub Advanced Security 等工具实时检测泄露秘密的必要性。
无人支付的赎金:代码早已公开 💰
攻击者在克隆仓库后,试图像软件绑架一样索要赎金。但显然,当代码已经在互联网上传播时,支付赎金就像在盗窃后购买一把锁。Grafana Labs 明智地没有妥协。如今,那个该死的令牌和分心的员工将作为动态二人组载入史册,提醒所有人:GitHub 上的一行简单文本,代价可能超过一顿公司晚餐。