Grafana Labs는 직원이 공개 저장소에서 개인 액세스 토큰을 노출시키면서 보안 침해를 겪었습니다. 높은 권한을 가진 이 토큰으로 인해 공격자가 플랫폼의 전체 코드베이스가 포함된 비공개 저장소를 복제할 수 있었습니다. 이 사건은 몸값을 지불하지 않으면 코드를 유출하겠다는 협박과 함께 갈취 시도로 이어졌으며, 부주의한 자격 증명 관리의 위험성을 드러냈습니다.
높은 권한: 공격 뒤에 숨은 기술적 실수 🔑
해당 직원의 개인 액세스 토큰은 repo 및 workflow와 같은 광범위한 범위를 가지고 있어 공격자에게 비공개 저장소에 대한 완전한 통제권을 부여했습니다. Grafana Labs는 고객 데이터나 프로덕션 환경에는 접근하지 않았다고 확인했지만, 중요한 보안 모듈을 포함한 소스 코드가 다운로드되었습니다. 회사는 자격 증명을 교체하고 로그를 감사했지만, 이 사건은 권한을 제한하고 GitHub Advanced Security와 같은 도구를 사용하여 실시간으로 노출된 비밀을 탐지해야 할 필요성을 강조합니다.
아무도 지불하지 않은, 이미 공개된 코드에 대한 몸값 💰
공격자는 저장소를 복제한 후, 마치 소프트웨어 납치처럼 몸값을 요구하려 했습니다. 하지만 코드가 이미 인터넷에 퍼져나간 상황에서 지불하는 것은 도난 후 자물쇠를 사는 것과 같습니다. 현명하게도 Grafana Labs는 굴복하지 않았습니다. 이제 저주받은 토큰과 방심했던 직원은 GitHub의 단순한 텍스트 한 줄이 회사 회식비보다 더 큰 대가를 치를 수 있다는 점을 모두에게 상기시킨 역동적인 듀오로 역사에 남을 것입니다.