Grafana Labs пострадала от утечки данных, когда сотрудник раскрыл личный токен доступа в публичном репозитории. Этот токен с расширенными разрешениями позволил злоумышленнику клонировать частный репозиторий, содержащий полную кодовую базу платформы. Инцидент привел к попытке вымогательства с угрозами утечки кода, если не будет выплачен выкуп, обнажив риски небрежного управления учетными данными.
Расширенные разрешения: техническая ошибка, лежащая в основе атаки 🔑
Личный токен доступа сотрудника имел широкие области действия, такие как repo и workflow, что предоставило злоумышленнику полный контроль над частным репозиторием. Grafana Labs подтвердила, что данные клиентов и производственные среды не были затронуты, но исходный код, включая критические модули безопасности, был загружен. Компания сменила учетные данные и провела аудит журналов, однако инцидент подчеркивает необходимость ограничения разрешений и использования таких инструментов, как GitHub Advanced Security, для обнаружения раскрытых секретов в реальном времени.
Выкуп, который никто не заплатил за код, который уже стал публичным 💰
Злоумышленник, клонировав репозиторий, попытался потребовать выкуп, словно это было похищение программного обеспечения. Но, конечно, когда код уже распространился по интернету, платить — это все равно что покупать замок после кражи. Grafana Labs, будучи благоразумной, не уступила. Теперь злополучный токен и рассеянный сотрудник войдут в историю как динамичный дуэт, напомнивший всем, что простой текст на GitHub может стоить дороже, чем корпоративный ужин.