Grafana diz que credencial roubada levou a tentativa de roubo de código

A Grafana Labs, empresa por trás da amplamente usada plataforma de observabilidade de código aberto, diz que foi invadida depois que invasores abusaram de um token roubado que lhes concedeu acesso ao seu ambiente de desenvolvimento no GitLab. Segundo as declarações públicas da empresa, o token comprometido não deu acesso a registros de clientes nem a informações financeiras, mas permitiu que os invasores obtivessem os repositórios de código-fonte da companhia.

A empresa diz que já invalidou o token e adicionou medidas de segurança extras enquanto sua investigação continua. Também afirma que publicará mais conclusões assim que a apuração for concluída.

Tentativa de extorsão foi رفضada

A Grafana diz que o invasor exigiu pagamento em troca de não divulgar a base de código. A empresa recusou. Ao explicar essa decisão, a Grafana citou orientações de longa data do FBI que desencorajam vítimas a pagar extorsionistas porque o pagamento não garante a devolução segura dos dados nem impede publicação posterior.

O caso é incomum porque o software principal da Grafana é de código aberto e já está disponível publicamente. Isso complica a alegação de extorsão: embora os invasores possam ter acessado repositórios, a empresa diz que seu código principal é público por design, deixando em aberto a questão de se algum material interno proprietário também foi levado.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic protocola de forma confidencial o início do processo de IPO

A Anthropic afirma ter enviado uma declaração de registro preliminar à Comissão de Valores Mobiliários dos EUA, iniciando o processo rumo a uma listagem pública.

Read article

Por que isso ainda importa para uma empresa de código aberto

Mesmo quando um produto central é de código aberto, um comprometimento dos sistemas de desenvolvimento ainda é um evento de segurança sério. Repositórios de código-fonte podem conter muito mais do que o código baixado pelos usuários. Eles também podem incluir ferramentas internas, recursos ainda não lançados, scripts operacionais, históricos de incidentes e detalhes de arquitetura que ajudam invasores a entender como uma empresa constrói e entrega software.

Por isso, a afirmação da Grafana de que dados de clientes e financeiros não foram acessados é importante, mas não suficiente para tornar o incidente trivial. O acesso a sistemas de engenharia cria seus próprios riscos, especialmente se os invasores puderem mapear processos internos ou procurar segredos que tenham sido comprometidos por engano.

Um padrão crescente na segurança de software

A violação também reflete uma realidade mais ampla na segurança de software: credenciais roubadas continuam sendo uma das rotas mais rápidas para sistemas críticos. Em vez de descobrir uma falha inédita no produto-alvo, invasores muitas vezes miram o ponto mais fraco ao redor dele, como um token, uma senha ou um fluxo de acesso que libera a infraestrutura de desenvolvimento.

Plataformas de desenvolvimento como o GitLab ficam perto do centro de uma empresa de software moderna. Elas podem expor código, registros de colaboração, pipelines de lançamento e, em alguns casos, caminhos de implantação. Isso as torna alvos atraentes mesmo quando o produto final é, por si só, de código aberto.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

O uso de VPN em Smart TVs está se tornando uma estratégia de segurança da rede doméstica

Uma VPN baseada no roteador para Smart TVs está sendo apresentada não apenas como forma de acessar streaming, mas também como uma maneira de reduzir a exposição de dados entre dispositivos conectados em casa.

Read article

Contraste com decisões recentes de resgate em outros casos

A TechCrunch aponta um contraste com o caso recente envolvendo a empresa de tecnologia educacional Instructure, que teria chegado a um acordo para pagar invasores após um comprometimento separado envolvendo dados roubados e, depois, uma desfiguração do site. A Grafana adotou a posição oposta, argumentando que recusar o pagamento é a resposta mais defensável.

Essa postura provavelmente será bem recebida por muitos profissionais de segurança, que há muito defendem que pagamentos rotineiros de resgate sustentam o modelo de negócios criminoso por trás dos ataques de extorsão. Ao mesmo tempo, empresas que se recusam a pagar aceitam a possibilidade de que o material roubado ainda possa ser divulgado.

O que observar a seguir

A pergunta mais importante ainda sem resposta é se os invasores obtiveram algo além de repositórios ligados ao código público da Grafana. A empresa ainda não disse se código interno proprietário, credenciais ou documentação operacional foram expostos. Seu relatório final do incidente determinará se isso foi principalmente uma tentativa de extorsão embaraçosa ou uma violação de engenharia mais grave.

Por ora, os fatos mais claros são limitados, mas significativos: um token roubado abriu a porta, repositórios de código-fonte foram acessados, dados de clientes e financeiros não foram expostos segundo a empresa, e a Grafana optou por não pagar.

Este artigo é baseado na cobertura da TechCrunch. Leia o artigo original.

NVIDIA
More in News

A NVIDIA apresenta o RTX Spark para levar os PCs com IA ainda mais fundo no Windows

A NVIDIA apresentou o RTX Spark, um chip para PCs com Windows baseado em Arm, que, segundo a empresa, pode entregar até 1 petaflop de desempenho de IA para notebooks e desktops compactos.

Read article

Originally published on techcrunch.com