चोरी झालेल्या क्रेडेन्शियलमुळे कोड चोरीचा प्रयत्न झाला, असे Grafana चे म्हणणे

विस्तृतपणे वापरल्या जाणाऱ्या open source observability platform मागील कंपनी Grafana Labs चे म्हणणे आहे की चोरी झालेल्या टोकन क्रेडेन्शियलचा गैरवापर करून हल्लेखोरांनी तिच्या GitLab development environment मध्ये प्रवेश मिळवल्यानंतर तिच्यावर हल्ला झाला. कंपनीच्या सार्वजनिक निवेदनांनुसार, compromise झालेल्या token ने customer records किंवा financial information access करण्याची परवानगी दिली नाही, पण त्याने हल्लेखोरांना कंपनीच्या source code repositories मिळवण्यास मदत केली.

चौकशी सुरू असताना कंपनीने तो token आधीच invalidated केला आहे आणि अतिरिक्त security measures जोडले आहेत, असेही ती म्हणते. probe पूर्ण झाल्यावर आणखी findings प्रकाशित करणार असल्याचेही तिने सांगितले.

खंडणीच्या मागणीला नकार

codebase न सोडण्याच्या बदल्यात payment मागितल्याचे Grafana चे म्हणणे आहे. कंपनीने नकार दिला. त्या निर्णयाचे स्पष्टीकरण देताना, victim ने extortionists ना पैसे देऊ नयेत असे दीर्घकाळपासून FBI guidance सांगते, कारण payment केल्याने data सुरक्षितपणे परत मिळेल याची किंवा नंतर publication थांबेल याची हमी मिळत नाही, असे Grafana ने नमूद केले.

ही केस अपवादात्मक आहे, कारण Grafana चे flagship software open source आहे आणि आधीपासून publicly available आहे. त्यामुळे extortion claim गुंतागुंतीचा ठरतो: हल्लेखोरांनी repositories access केल्या असतील, पण कंपनीच्या म्हणण्यानुसार तिचा main code design मुळे सार्वजनिक आहे, त्यामुळे काही proprietary internal material देखील घेतले गेले का, हा प्रश्न उघडाच आहे.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic ने IPO प्रक्रिया सुरू करण्यासाठी गोपनीयरीत्या फाइल केले

Anthropic ने अमेरिकेच्या सिक्युरिटीज अँड एक्सचेंज कमिशनकडे draft registration statement सादर केल्याचे सांगितले आहे, ज्यामुळे सार्वजनिक सूचीकरणाकडे जाणारी प्रक्रिया सुरू झाली आहे.

Read article

open source कंपनीसाठी हे तरीही का महत्त्वाचे आहे

core product open source असले तरी development systems compromise होणे हे अजूनही एक गंभीर security event आहे. source repositories मध्ये वापरकर्ते download करतात त्या code पेक्षा बरेच काही असू शकते. त्यात internal tooling, unreleased features, operational scripts, issue histories, आणि कंपनी software कसे build आणि ship करते हे समजून घेण्यासाठी उपयुक्त architectural details असू शकतात.

म्हणूनच customer आणि financial data access झाले नाहीत, ही Grafana ची माहिती महत्त्वाची आहे; पण घटनेला किरकोळ मानण्यासाठी ती पुरेशी नाही. engineering systems ला access मिळणे स्वतःचे धोके निर्माण करते, विशेषतः हल्लेखोरांना internal processes map करता आले किंवा चुकून commit झालेले secrets शोधता आले, तर.

software security मधील वाढता pattern

हा breach software security मधील व्यापक वास्तवही दर्शवतो: चोरी झालेली credentials ही critical systems मध्ये प्रवेश मिळवण्याची सर्वात जलद साधनांपैकी एक आहेत. लक्ष्याच्या product मधील नवीन flaw शोधण्याऐवजी, हल्लेखोर अनेकदा त्याच्या आजूबाजूच्या कमजोर बिंदूंना लक्ष्य करतात, जसे token, password, किंवा development infrastructure उघडणारा access workflow.

GitLab सारखी development platforms आधुनिक software company च्या केंद्राजवळ असतात. ती code, collaboration records, release pipelines, आणि काही प्रकरणांमध्ये deployment paths देखील उघड करू शकतात. त्यामुळे अंतिम उत्पादन स्वतः open source असले तरीही ती आकर्षक लक्ष्ये ठरतात.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

स्मार्ट टीव्हीवर VPN वापर आता घरगुती नेटवर्क सुरक्षेचा उपाय ठरत आहे

स्मार्ट टीव्हीसाठी राउटर-आधारित VPN फक्त स्ट्रीमिंग अॅक्सेससाठीच नव्हे, तर जोडलेल्या घरगुती उपकरणांमधील डेटा उघडपणा कमी करण्याच्या मार्ग म्हणूनही मांडला जात आहे.

Read article

अलीकडील इतर ransom निर्णयांशी तुलना

TechCrunch ने education technology company Instructure शी संबंधित अलीकडील प्रकरणाशी तुलना केली आहे, ज्यात allegedly stolen data आणि नंतर झालेल्या website defacement शी संबंधित स्वतंत्र compromise नंतर हल्लेखोरांना payment देण्याचा करार करण्यात आला होता. Grafana ने उलट भूमिका घेतली आहे, refusal हेच अधिक defensible response असल्याचे सांगितले आहे.

ही भूमिका अनेक security professionals ना मान्य होण्याची शक्यता आहे, कारण नियमित ransom payments मुळे extortion attacks मागील criminal business model टिकून राहतो, असे ते दीर्घकाळापासून म्हणत आले आहेत. त्याच वेळी, पैसे न देणाऱ्या कंपन्या चोरी झालेले साहित्य तरीही प्रसिद्ध होऊ शकते, ही शक्यता स्वीकारतात.

पुढे काय पाहायचे

सर्वात महत्त्वाचा unanswered question म्हणजे हल्लेखोरांना Grafana च्या सार्वजनिक code शी संबंधित repositories व्यतिरिक्त काही मिळाले का. proprietary internal code, credentials, किंवा operational documentation उघड झाले का, हे कंपनीने अजून सांगितलेले नाही. तिचा final incident report हे ठरवेल की ही प्रामुख्याने एक लाजिरवाणी extortion attempt होती, की अधिक consequential engineering breach.

सध्या स्पष्ट तथ्ये मर्यादित पण महत्त्वाची आहेत: एक stolen token ने दार उघडले, source repositories access केल्या गेल्या, कंपनीच्या म्हणण्यानुसार customer आणि financial data exposed झाले नाहीत, आणि Grafana ने पैसे देण्याचा निर्णय घेतला नाही.

हा लेख TechCrunch च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.

NVIDIA
More in News

NVIDIA ने RTX Spark सादर केले, Windows मधील AI PCs अधिक खोल नेण्यासाठी

NVIDIA ने RTX Spark हा Arm-आधारित Windows PC चिप सादर केला असून, तो लॅपटॉप आणि कॉम्पॅक्ट डेस्कटॉपसाठी 1 petaflop पर्यंत AI कार्यक्षमता देऊ शकतो, असा कंपनीचा दावा आहे.

Read article

Originally published on techcrunch.com