Grafana Labs a subi une brèche de sécurité lorsqu'un employé a exposé un jeton d'accès personnel dans un dépôt public. Ce jeton, doté de privilèges élevés, a permis à un attaquant de cloner le dépôt privé contenant l'intégralité du code source de la plateforme. L'incident a conduit à une tentative d'extorsion, avec des menaces de divulguer le code si une rançon n'était pas payée, révélant les risques d'une gestion négligente des identifiants.
Privilèges élevés : l'erreur technique derrière l'attaque 🔑
Le jeton d'accès personnel de l'employé possédait des périmètres étendus, comme repo et workflow, ce qui a donné à l'attaquant un contrôle total sur le dépôt privé. Grafana Labs a confirmé qu'aucune donnée client ni environnement de production n'a été compromise, mais le code source, y compris des modules de sécurité critiques, a été téléchargé. L'entreprise a révoqué les identifiants et audité les journaux, mais l'incident souligne la nécessité de limiter les privilèges et d'utiliser des outils comme GitHub Advanced Security pour détecter les secrets exposés en temps réel.
La rançon que personne n'a payée pour un code déjà public 💰
L'attaquant, après avoir cloné le dépôt, a tenté de demander une rançon comme s'il s'agissait d'un rapt de logiciel. Mais bien sûr, lorsque le code s'est déjà répandu sur Internet, payer revient à acheter une serrure après le vol. Grafana Labs, sensée, n'a pas cédé. Désormais, le jeton maudit et l'employé distrait entreront dans l'histoire comme le duo dynamique qui a rappelé à tous que un simple texte sur GitHub peut coûter plus cher qu'un dîner d'entreprise.