Grafana sagt, gestohlene Zugangsdaten hätten den Versuch des Codesdiebstahls ausgelöst

Grafana Labs, das Unternehmen hinter der weit verbreiteten Open-Source-Observability-Plattform, sagt, es sei gehackt worden, nachdem Angreifer ein gestohlenes Token missbraucht hätten, das ihnen Zugang zu seiner GitLab-Entwicklungsumgebung verschaffte. Nach Angaben des Unternehmens in öffentlichen Stellungnahmen verschaffte das kompromittierte Token keinen Zugriff auf Kundendaten oder Finanzinformationen, ermöglichte den Angreifern jedoch den Zugriff auf die Quellcode-Repositories des Unternehmens.

Das Unternehmen sagt, es habe das Token bereits ungültig gemacht und zusätzliche Sicherheitsmaßnahmen eingeführt, während die Untersuchung weiterläuft. Außerdem werde es weitere Erkenntnisse veröffentlichen, sobald die Prüfung abgeschlossen sei.

Erpressungsversuch blieb erfolglos

Grafana sagt, der Angreifer habe Geld verlangt, um den Codebestand nicht zu veröffentlichen. Das Unternehmen lehnte ab. Zur Begründung verwies Grafana auf seit Langem bestehende FBI-Leitlinien, die Opfer davon abraten, Erpresser zu bezahlen, weil eine Zahlung weder die sichere Rückgabe der Daten garantiert noch eine spätere Veröffentlichung verhindert.

Der Fall ist ungewöhnlich, weil Grafanas Flaggschiff-Software Open Source ist und bereits öffentlich verfügbar ist. Das macht den Erpressungsvorwurf kompliziert: Zwar könnten Angreifer auf Repositories zugegriffen haben, das Unternehmen sagt jedoch, sein Hauptcode sei absichtlich öffentlich, sodass offen bleibt, ob auch proprietäres internes Material entwendet wurde.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic reicht vertraulich ein, um den IPO-Prozess zu beginnen

Anthropic teilte mit, einen Entwurf der Registrierungsunterlage bei der US-Börsenaufsicht SEC eingereicht zu haben und damit den Weg für einen Börsengang einzuleiten.

Read article

Warum das für ein Open-Source-Unternehmen trotzdem wichtig ist

Selbst wenn ein Kernprodukt Open Source ist, bleibt eine Kompromittierung von Entwicklungssystemen ein schwerwiegendes Sicherheitsereignis. Quellcode-Repositories können weit mehr enthalten als den Code, den Nutzer herunterladen. Sie können auch interne Werkzeuge, noch unveröffentlichte Funktionen, Betriebsskripte, Ticket-Historien und Architekturdetails enthalten, die Angreifern helfen, zu verstehen, wie ein Unternehmen Software entwickelt und ausliefert.

Darum ist Grafanas Aussage wichtig, dass keine Kunden- und Finanzdaten abgerufen wurden, sie reicht aber nicht aus, um den Vorfall zu bagatellisieren. Der Zugriff auf Engineering-Systeme schafft eigene Risiken, vor allem wenn Angreifer interne Abläufe kartieren oder nach Geheimnissen suchen können, die versehentlich eingecheckt wurden.

Ein wachsendes Muster in der Softwaresicherheit

Der Einbruch spiegelt auch eine breitere Realität der Softwaresicherheit wider: Gestohlene Zugangsdaten bleiben einer der schnellsten Wege in kritische Systeme. Statt eine neue Schwachstelle im Zielprodukt zu finden, greifen Angreifer oft den schwächeren Punkt darum herum an, etwa ein Token, ein Passwort oder einen Zugriffsablauf, der Entwicklungsinfrastruktur freischaltet.

Entwicklungsplattformen wie GitLab stehen im Zentrum eines modernen Softwareunternehmens. Sie können Code, Kollaborationsprotokolle, Release-Pipelines und in manchen Fällen Deployment-Pfade offenlegen. Das macht sie zu attraktiven Zielen, selbst wenn das Endprodukt selbst Open Source ist.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

Die Nutzung von VPNs auf Smart-TVs entwickelt sich zu einem Thema der Heimnetzwerk-Sicherheit

Ein routerbasiertes VPN für Smart-TVs wird nicht nur als Mittel für Streaming-Zugriffe beworben, sondern auch als Weg, die Datenexposition über vernetzte Geräte im Haushalt zu verringern.

Read article

Kontrast zu jüngsten Lösegeld-Entscheidungen anderswo

TechCrunch verweist auf einen Kontrast zum jüngsten Fall des Bildungstechnologieunternehmens Instructure, das Berichten zufolge nach einem separaten Kompromittierungsfall mit gestohlenen Daten und anschließender Website-Verunstaltung eine Einigung über eine Zahlung an die Angreifer erzielt haben soll. Grafana hat die gegenteilige Position eingenommen und argumentiert, dass die Verweigerung der Zahlung die besser vertretbare Reaktion sei.

Diese Haltung dürfte von vielen Sicherheitsexperten begrüßt werden, die seit Langem argumentieren, dass routinemäßige Lösegeldzahlungen das kriminelle Geschäftsmodell hinter Erpressungsangriffen stützen. Gleichzeitig akzeptieren Unternehmen, die nicht zahlen, die Möglichkeit, dass gestohlene Materialien dennoch veröffentlicht werden könnten.

Worauf als Nächstes zu achten ist

Die wichtigste noch unbeantwortete Frage ist, ob die Angreifer etwas über die mit Grafanas öffentlichem Code verbundenen Repositories hinaus erlangt haben. Das Unternehmen hat bislang nicht gesagt, ob proprietärer interner Code, Zugangsdaten oder Betriebsdokumentation offengelegt wurden. Der abschließende Vorfallbericht wird klären, ob es sich hauptsächlich um einen peinlichen Erpressungsversuch oder um einen folgenschwereren Einbruch in die Entwicklung handelte.

Vorläufig sind die klarsten Fakten eng umrissen, aber bedeutsam: Ein gestohlenes Token öffnete die Tür, Quellcode-Repositories wurden aufgerufen, Kunden- und Finanzdaten wurden laut Unternehmen nicht offengelegt, und Grafana entschied sich gegen eine Zahlung.

Dieser Artikel basiert auf Berichterstattung von TechCrunch. Den Originalartikel lesen.

NVIDIA
More in News

NVIDIA stellt RTX Spark vor, um AI-PCs unter Windows weiter voranzutreiben

NVIDIA hat RTX Spark vorgestellt, einen auf Arm basierenden Windows-PC-Chip, der laut dem Unternehmen bis zu 1 Petaflop an KI-Leistung für Laptops und kompakte Desktop-Rechner liefern kann.

Read article

Originally published on techcrunch.com