Grafana Labs erlitt einen Sicherheitsvorfall, als ein Mitarbeiter einen persönlichen Zugangstoken in einem öffentlichen Repository offenlegte. Dieser Token mit erweiterten Berechtigungen ermöglichte es einem Angreifer, das private Repository zu klonen, das den vollständigen Quellcode der Plattform enthielt. Der Vorfall führte zu einem Erpressungsversuch, bei dem mit der Veröffentlichung des Codes gedroht wurde, falls kein Lösegeld gezahlt würde, und offenbarte die Risiken eines nachlässigen Umgangs mit Anmeldeinformationen.
Erweiterte Berechtigungen: Der technische Fehler hinter dem Angriff 🔑
Der persönliche Zugangstoken des Mitarbeiters hatte umfangreiche Bereiche wie repo und workflow, was dem Angreifer die vollständige Kontrolle über das private Repository verschaffte. Grafana Labs bestätigte, dass keine Kundendaten oder Produktionsumgebungen betroffen waren, aber der Quellcode, einschließlich kritischer Sicherheitsmodule, wurde heruntergeladen. Das Unternehmen rotierte die Anmeldeinformationen und prüfte die Logs, aber der Vorfall unterstreicht die Notwendigkeit, Berechtigungen einzuschränken und Tools wie GitHub Advanced Security zu verwenden, um exponierte Geheimnisse in Echtzeit zu erkennen.
Das Lösegeld, das niemand für einen bereits öffentlichen Code zahlte 💰
Der Angreifer versuchte nach dem Klonen des Repositorys, Lösegeld zu fordern, als handele es sich um eine Software-Entführung. Aber klar, wenn der Code bereits im Internet verbreitet ist, ist Bezahlen wie der Kauf eines Schlosses nach dem Einbruch. Grafana Labs gab, vernünftigerweise, nicht nach. Nun werden der verfluchte Token und der abgelenkte Mitarbeiter als das dynamische Duo in die Geschichte eingehen, das alle daran erinnerte, dass ein einfacher Text auf GitHub teurer sein kann als ein Firmenessen.