Grafana Labsは、従業員が公開リポジトリで個人アクセストークンを公開したことにより、セキュリティ侵害を被りました。このトークンは高い権限を持っており、攻撃者がプラットフォームの完全なコードベースを含むプライベートリポジトリをクローンすることを可能にしました。このインシデントは身代金要求へと発展し、身代金が支払われなければコードを流出させると脅迫され、不注意な認証情報管理のリスクを露呈しました。
高い権限:攻撃の背後にある技術的ミス 🔑
従業員の個人アクセストークンは、repoやworkflowなどの広範なスコープを持っており、攻撃者にプライベートリポジトリへの完全な制御を許可しました。Grafana Labsは、顧客データや本番環境にはアクセスされていないことを確認しましたが、重要なセキュリティモジュールを含むソースコードがダウンロードされました。同社は認証情報をローテーションし、ログを監査しましたが、このインシデントは権限を制限し、GitHub Advanced Securityなどのツールを使用して公開されたシークレットをリアルタイムで検出する必要性を浮き彫りにしています。
誰も支払わなかった身代金、すでに公開されているコードに対して 💰
攻撃者はリポジトリをクローンした後、あたかもソフトウェアの身代金要求であるかのように身代金を要求しようとしました。しかし、もちろん、コードがすでにインターネット上に拡散されている場合、身代金を支払うことは盗難後に鍵を購入するようなものです。賢明なGrafana Labsは屈しませんでした。今や、呪われたトークンと注意散漫な従業員は、GitHub上の単なるテキストが会社の夕食代よりも高くつく可能性があることを皆に思い出させる、伝説のコンビとして歴史に残ることでしょう。