চুরি হওয়া ক্রেডেনশিয়াল কোড চুরির চেষ্টায় ব্যবহার হয়েছে বলে Grafana জানায়

বহুল ব্যবহৃত open source observability platform-এর পেছনের প্রতিষ্ঠান Grafana Labs বলছে, চুরি হওয়া একটি token credential-এর অপব্যবহার করে আক্রমণকারীরা তাদের GitLab development environment-এ প্রবেশ করার পর তাদের ওপর হ্যাক হয়েছে। কোম্পানির public statements অনুযায়ী, compromised token customer records বা financial information-এ access দেয়নি, তবে এটি আক্রমণকারীদের কোম্পানির source code repositories পেতে সক্ষম করেছে।

কোম্পানি বলছে, তদন্ত চলাকালে তারা ইতিমধ্যে token invalidated করেছে এবং অতিরিক্ত security measures যুক্ত করেছে। probe শেষ হলে আরও findings প্রকাশ করা হবে বলেও তারা জানিয়েছে।

মুক্তিপণের দাবির মুখে অস্বীকৃতি

Grafana বলছে, codebase প্রকাশ না করার বিনিময়ে attacker payment দাবি করেছিল। কোম্পানি তা প্রত্যাখ্যান করেছে। সেই সিদ্ধান্ত ব্যাখ্যা করতে গিয়ে Grafana দীর্ঘদিনের FBI guidance-এর কথা উল্লেখ করেছে, যা ভুক্তভোগীদের extortionists-দের অর্থ দিতে নিরুৎসাহিত করে, কারণ payment data নিরাপদে ফেরত আসার নিশ্চয়তা দেয় না বা পরে publication আটকায় না।

এই ঘটনা অস্বাভাবিক, কারণ Grafana-এর flagship software open source এবং ইতিমধ্যেই publicly available। এতে extortion claim জটিল হয়ে ওঠে: attackers repositories access করে থাকতে পারে, কিন্তু কোম্পানির মতে তাদের main code design অনুযায়ী public, ফলে কোনো proprietary internal material-ও নেওয়া হয়েছিল কি না তা অনিশ্চিত রয়ে গেছে।

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic IPO প্রক্রিয়া শুরুর জন্য গোপনে নথি জমা দিল

Anthropic জানিয়েছে, তারা মার্কিন সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশনের কাছে একটি draft registration statement জমা দিয়েছে, যা পাবলিক লিস্টিংয়ের পথে প্রক্রিয়া শুরু করছে।

Read article

একটি open source কোম্পানির জন্যও কেন এটি গুরুত্বপূর্ণ

core product open source হলেও development systems compromise হওয়া এখনও একটি গুরুতর security event। source repositories-এ ব্যবহারকারীরা যে code download করে তার চেয়ে অনেক বেশি কিছু থাকতে পারে। সেখানে internal tooling, unreleased features, operational scripts, issue histories, এবং architectural details থাকতে পারে, যা attackers-দের একটি company কীভাবে software build ও ship করে তা বুঝতে সাহায্য করে।

এ কারণেই customer এবং financial data access করা হয়নি বলে Grafana-এর বক্তব্য গুরুত্বপূর্ণ, তবে ঘটনাটিকে তুচ্ছ করার জন্য যথেষ্ট নয়। engineering systems-এ access নিজস্ব ঝুঁকি তৈরি করে, বিশেষ করে যদি attackers internal processes map করতে পারে বা ভুলবশত committed secrets খুঁজে পায়।

software security-তে বাড়তে থাকা pattern

এই breach software security-র একটি বৃহত্তর বাস্তবতাকেও প্রতিফলিত করে: stolen credentials এখনও critical systems-এ ঢোকার দ্রুততম উপায়গুলোর একটি। কোনো target-এর product-এ নতুন flaw খুঁজে বের করার বদলে, attackers প্রায়ই তার চারপাশের দুর্বল জায়গাকে টার্গেট করে, যেমন token, password, বা development infrastructure unlock করে এমন access workflow।

GitLab-এর মতো development platforms আধুনিক software company-র কেন্দ্রের খুব কাছাকাছি থাকে। এগুলো code, collaboration records, release pipelines, এবং কিছু ক্ষেত্রে deployment paths-ও expose করতে পারে। ফলে final product নিজেই open source হলেও এগুলো আকর্ষণীয় target হয়ে ওঠে।

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

স্মার্ট টিভিতে VPN ব্যবহার এখন ঘরোয়া নেটওয়ার্ক নিরাপত্তার একটি পদক্ষেপ হয়ে উঠছে

স্মার্ট টিভির জন্য রাউটার-ভিত্তিক VPN-কে শুধু স্ট্রিমিং অ্যাক্সেসের জন্য নয়, বরং সংযুক্ত ঘরোয়া ডিভাইসগুলোর মধ্যে ডেটা প্রকাশ কমানোর উপায় হিসেবেও তুলে ধরা হচ্ছে।

Read article

সাম্প্রতিক অন্যান্য ransom সিদ্ধান্তের সঙ্গে তুলনা

TechCrunch শিক্ষা প্রযুক্তি প্রতিষ্ঠান Instructure-কে ঘিরে সাম্প্রতিক ঘটনার সঙ্গে একটি তুলনার কথা বলেছে, যেখানে allegedly stolen data এবং পরবর্তী website defacement-সহ পৃথক compromise-এর পর attackers-দের অর্থ দিতে চুক্তি করা হয়েছিল বলে জানা গেছে। Grafana বিপরীত অবস্থান নিয়েছে, arguing যে refusal-ই বেশি defensible response।

এই অবস্থান অনেক security professional-এর কাছে গ্রহণযোগ্য হতে পারে, কারণ তারা দীর্ঘদিন ধরে বলে আসছেন যে নিয়মিত ransom payment extortion attacks-এর পেছনের criminal business model টিকিয়ে রাখে। একই সঙ্গে, যারা pay করতে অস্বীকার করে তারা stolen material এখনও প্রকাশিত হতে পারে—এই সম্ভাবনাও মেনে নেয়।

এরপর কী দেখার আছে

সবচেয়ে গুরুত্বপূর্ণ unanswered question হলো attackers Grafana-এর public code-সংযুক্ত repositories-এর বাইরে কিছু পেয়েছিল কি না। company এখনও বলেনি proprietary internal code, credentials, বা operational documentation exposed হয়েছিল কি না। তাদের final incident report-ই নির্ধারণ করবে এটি মূলত একটি embarrassing extortion attempt ছিল, নাকি আরও consequential engineering breach।

এখন পর্যন্ত সবচেয়ে স্পষ্ট facts সীমিত কিন্তু গুরুত্বপূর্ণ: একটি stolen token দরজা খুলেছিল, source repositories access করা হয়েছিল, company-এর মতে customer এবং financial data exposed হয়নি, এবং Grafana pay না করার সিদ্ধান্ত নিয়েছে।

এই নিবন্ধটি TechCrunch-এর রিপোর্টিং-এর ভিত্তিতে। মূল নিবন্ধ পড়ুন.

NVIDIA
More in News

NVIDIA RTX Spark উন্মোচন করেছে, Windows-এ AI PC-কে আরও গভীরে নিতে

NVIDIA RTX Spark নামে একটি Arm-ভিত্তিক Windows PC চিপ উন্মোচন করেছে, যার দাবি অনুযায়ী এটি ল্যাপটপ এবং কমপ্যাক্ট ডেস্কটপের জন্য 1 petaflop পর্যন্ত AI কর্মক্ষমতা দিতে পারে।

Read article

Originally published on techcrunch.com