Grafana का कहना है कि चोरी किए गए क्रेडेंशियल से कोड चोरी की कोशिश हुई

Grafana Labs, जो व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स ऑब्ज़र्वेबिलिटी प्लेटफ़ॉर्म के पीछे की कंपनी है, का कहना है कि उस पर हमला हुआ, जब हमलावरों ने एक चोरी हुए टोकन क्रेडेंशियल का दुरुपयोग किया, जिसने उसके GitLab डेवलपमेंट वातावरण तक पहुंच दी। कंपनी के सार्वजनिक बयानों के अनुसार, समझौता किए गए टोकन ने ग्राहक रिकॉर्ड या वित्तीय जानकारी तक पहुंच नहीं दी, लेकिन इसने हमलावरों को कंपनी की स्रोत कोड रिपॉज़िटरीज़ हासिल करने में सक्षम बनाया।

कंपनी का कहना है कि उसने पहले ही टोकन को अमान्य कर दिया है और जांच जारी रहने के दौरान अतिरिक्त सुरक्षा उपाय जोड़ दिए हैं। उसने यह भी कहा है कि जांच पूरी होने पर वह और निष्कर्ष प्रकाशित करेगी।

फिरौती की मांग को अस्वीकार किया गया

Grafana का कहना है कि हमलावर ने कोडबेस जारी न करने के बदले भुगतान की मांग की। कंपनी ने इनकार कर दिया। इस फैसले की व्याख्या करते हुए, Grafana ने लंबे समय से चली आ रही FBI मार्गदर्शिका का हवाला दिया, जो पीड़ितों को जबरन वसूली करने वालों को भुगतान करने से हतोत्साहित करती है क्योंकि भुगतान डेटा की सुरक्षित वापसी की गारंटी नहीं देता और न ही बाद में प्रकाशन को रोकता है।

यह मामला असामान्य है क्योंकि Grafana का प्रमुख सॉफ़्टवेयर ओपन सोर्स है और पहले से ही सार्वजनिक रूप से उपलब्ध है। इससे जबरन वसूली के दावे में जटिलता आती है: भले ही हमलावरों ने रिपॉज़िटरीज़ तक पहुंच बनाई हो, कंपनी का कहना है कि उसका मुख्य कोड डिज़ाइन के अनुसार सार्वजनिक है, जिससे यह सवाल खुला रहता है कि क्या कोई स्वामित्व वाला आंतरिक सामग्री भी ली गई थी।

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic ने IPO प्रक्रिया शुरू करने के लिए गोपनीय रूप से फाइल किया

Anthropic का कहना है कि उसने अमेरिकी प्रतिभूति और विनिमय आयोग को एक ड्राफ्ट रजिस्ट्रेशन स्टेटमेंट सौंप दिया है, जिससे सार्वजनिक लिस्टिंग की प्रक्रिया शुरू हो गई है।

Read article

ओपन सोर्स कंपनी के लिए यह फिर भी क्यों मायने रखता है

भले ही एक मुख्य उत्पाद ओपन सोर्स हो, विकास प्रणालियों का समझौता फिर भी एक गंभीर सुरक्षा घटना है। स्रोत रिपॉज़िटरीज़ में उपयोगकर्ताओं द्वारा डाउनलोड किए जाने वाले कोड से कहीं अधिक हो सकता है। इनमें आंतरिक टूलिंग, अप्रकाशित सुविधाएँ, परिचालन स्क्रिप्ट, मुद्दों का इतिहास और आर्किटेक्चरल विवरण भी शामिल हो सकते हैं, जो हमलावरों को यह समझने में मदद करते हैं कि कोई कंपनी सॉफ़्टवेयर कैसे बनाती और जारी करती है।

इसीलिए Grafana का यह कहना कि ग्राहक और वित्तीय डेटा तक पहुंच नहीं बनाई गई, महत्वपूर्ण तो है, लेकिन घटना को तुच्छ बनाने के लिए पर्याप्त नहीं है। इंजीनियरिंग प्रणालियों तक पहुंच अपने जोखिम खुद पैदा करती है, खासकर अगर हमलावर आंतरिक प्रक्रियाओं का नक्शा बना सकें या गलती से कमिट किए गए सीक्रेट्स खोज सकें।

सॉफ़्टवेयर सुरक्षा में बढ़ता पैटर्न

यह breach सॉफ़्टवेयर सुरक्षा में एक व्यापक वास्तविकता को भी दर्शाता है: चोरी किए गए क्रेडेंशियल्स अभी भी महत्वपूर्ण प्रणालियों तक पहुंचने के सबसे तेज़ रास्तों में से एक हैं। किसी लक्ष्य के उत्पाद में नई खामी खोजने के बजाय, हमलावर अक्सर उसके आसपास के कमजोर बिंदु को निशाना बनाते हैं, जैसे टोकन, पासवर्ड या एक्सेस वर्कफ़्लो, जो विकास अवसंरचना को अनलॉक करता है।

GitLab जैसे डेवलपमेंट प्लेटफ़ॉर्म आधुनिक सॉफ़्टवेयर कंपनी के केंद्र के करीब होते हैं। वे कोड, सहयोग रिकॉर्ड, रिलीज़ पाइपलाइन और कुछ मामलों में डिप्लॉयमेंट पथ भी उजागर कर सकते हैं। यही बात उन्हें आकर्षक लक्ष्य बनाती है, भले ही अंतिम उत्पाद स्वयं ओपन सोर्स हो।

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

स्मार्ट टीवी पर VPN का उपयोग अब घरेलू नेटवर्क सुरक्षा का एक उपाय बन रहा है

स्मार्ट टीवी के लिए राउटर-आधारित VPN को सिर्फ स्ट्रीमिंग एक्सेस के लिए नहीं, बल्कि जुड़े हुए घरेलू उपकरणों में डेटा एक्सपोज़र कम करने के तरीके के रूप में पेश किया जा रहा है।

Read article

अन्य हालिया फिरौती निर्णयों से तुलना

TechCrunch ने शिक्षा प्रौद्योगिकी कंपनी Instructure से जुड़े हालिया मामले के साथ तुलना की है, जिसने कथित तौर पर चोरी किए गए डेटा और बाद में वेबसाइट की विकृति से जुड़े एक अलग समझौता उल्लंघन के बाद हमलावरों को भुगतान करने पर सहमति बनाई थी। Grafana ने विपरीत रुख अपनाया है और तर्क दिया है कि इनकार अधिक उचित प्रतिक्रिया है।

यह रुख कई सुरक्षा पेशेवरों को पसंद आ सकता है, जो लंबे समय से तर्क देते आए हैं कि नियमित फिरौती भुगतान जबरन वसूली हमलों के पीछे के आपराधिक व्यवसाय मॉडल को बनाए रखते हैं। साथ ही, जो कंपनियाँ भुगतान से इनकार करती हैं, वे इस संभावना को स्वीकार करती हैं कि चोरी की गई सामग्री फिर भी जारी की जा सकती है।

आगे क्या देखना है

सबसे महत्वपूर्ण अनुत्तरित प्रश्न यह है कि क्या हमलावरों को Grafana के सार्वजनिक कोड से जुड़ी रिपॉज़िटरीज़ से परे कुछ भी मिला। कंपनी ने अभी तक यह नहीं कहा है कि क्या स्वामित्व वाला आंतरिक कोड, क्रेडेंशियल्स या परिचालन दस्तावेज़ उजागर हुए थे। इसकी अंतिम घटना रिपोर्ट यह तय करेगी कि यह मुख्य रूप से एक शर्मनाक जबरन वसूली का प्रयास था या एक अधिक गंभीर इंजीनियरिंग breach।

फिलहाल, सबसे स्पष्ट तथ्य सीमित लेकिन महत्वपूर्ण हैं: एक चोरी हुए टोकन ने दरवाज़ा खोला, स्रोत रिपॉज़िटरीज़ तक पहुंच बनाई गई, कंपनी के अनुसार ग्राहक और वित्तीय डेटा उजागर नहीं हुए, और Grafana ने भुगतान न करने का फैसला किया।

यह लेख TechCrunch की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

NVIDIA
More in News

NVIDIA ने RTX Spark पेश किया, Windows में AI PCs को और गहराई तक ले जाने के लिए

NVIDIA ने RTX Spark पेश किया, एक Arm-आधारित Windows PC चिप, जिसके बारे में उसका कहना है कि यह लैपटॉप और कॉम्पैक्ट डेस्कटॉप के लिए 1 पेटाफ्लॉप तक AI प्रदर्शन दे सकती है।

Read article

Originally published on techcrunch.com