దొంగిలించిన క్రెడెన్షియల్ కోడ్ దోపిడీ ప్రయత్నానికి దారితీసిందని Grafana చెబుతోంది

విస్తృతంగా ఉపయోగించే open source observability platform వెనుక ఉన్న సంస్థ అయిన Grafana Labs, దొంగిలించబడిన టోకెన్ క్రెడెన్షియల్‌ను దాడి చేసిన వారు దుర్వినియోగం చేయడంతో తమపై హ్యాక్ జరిగినట్లు చెబుతోంది; ఆ టోకెన్ దాని GitLab development environment‌కు access ఇచ్చింది. సంస్థ యొక్క ప్రజా ప్రకటనల ప్రకారం, compromise అయిన token కస్టమర్ రికార్డులు లేదా ఆర్థిక సమాచారానికి access ఇవ్వలేదు, కానీ దాడి చేసిన వారికి సంస్థ యొక్క source code repositories పొందే అవకాశం ఇచ్చింది.

విచారణ కొనసాగుతున్నందున టోకెన్‌ను ఇప్పటికే invalidated చేశామని, అదనపు భద్రతా చర్యలను చేర్చామని కంపెనీ చెబుతోంది. probe పూర్తయిన తర్వాత మరిన్ని findings‌ను ప్రచురిస్తామని కూడా తెలిపింది.

రాన్సమ్ డిమాండ్‌కు నిరాకరణ

codebase‌ను విడుదల చేయకుండా ఉండాలంటే చెల్లింపు కావాలని attacker డిమాండ్ చేశాడని Grafana చెబుతోంది. కంపెనీ తిరస్కరించింది. ఆ నిర్ణయాన్ని వివరిస్తూ, బాధితులు extortionists‌కు డబ్బు చెల్లించకుండా ఉండాలని నిరుత్సాహపరిచే దీర్ఘకాలిక FBI guidance‌ను Grafana ప్రస్తావించింది; ఎందుకంటే payment data సురక్షితంగా తిరిగి వస్తుందనే హామీ ఇవ్వదు, లేదా తర్వాత publication‌ను ఆపదు.

ఈ కేసు అసాధారణమైనది, ఎందుకంటే Grafana యొక్క flagship software open source మరియు ఇప్పటికే publicly available. ఇది extortion claim‌ను సంక్లిష్టం చేస్తుంది: attackers repositories‌ను access చేసివుండవచ్చు, కానీ కంపెనీ ప్రకారం దాని main code design ప్రకారం public, అందువల్ల ఏదైనా proprietary internal material కూడా తీసుకున్నారా అన్న ప్రశ్న తెరిచి ఉంది.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic IPO ప్రక్రియను ప్రారంభించేందుకు రహస్యంగా దాఖలు చేసింది

అమెరికా సెక్యూరిటీస్ అండ్ ఎక్స్చేంజ్ కమిషన్ వద్ద ఒక draft registration statement సమర్పించినట్లు Anthropic తెలిపింది, దీంతో పబ్లిక్ లిస్టింగ్ దిశగా ప్రక్రియ ప్రారంభమైంది.

Read article

ఒక open source కంపెనీకి ఇది ఇంకా ఎందుకు ముఖ్యం

core product open source అయినా, development systems compromise కావడం ఇప్పటికీ తీవ్రమైన security event. source repositories‌లో users download చేసే code కంటే చాలా ఎక్కువ ఉండొచ్చు. అందులో internal tooling, విడుదల చేయని features, operational scripts, issue histories, మరియు ఒక company software‌ను ఎలా build చేసి ship చేస్తుందో దాడి చేసిన వారికి అర్థమయ్యేలా చేసే architectural details కూడా ఉండవచ్చు.

అందుకే customer మరియు financial data access కాలేదని Grafana చెప్పడం ముఖ్యమైనదే, కానీ ఘటనను trivial‌గా భావించడానికి సరిపోదు. engineering systems‌కు access ఉండటం స్వంత risks‌ను సృష్టిస్తుంది, ముఖ్యంగా attackers internal processes‌ను map చేయగలిగితే లేదా పొరపాటున committed అయిన secrets‌ను వెతకగలిగితే.

software securityలో పెరుగుతున్న pattern

ఈ breach software securityలోని విస్తృత వాస్తవాన్ని కూడా ప్రతిబింబిస్తుంది: stolen credentials ఇంకా critical systems‌లోకి ప్రవేశించడానికి వేగవంతమైన మార్గాల్లో ఒకటి. లక్ష్య ఉత్పత్తిలో కొత్త flaw‌ను కనుగొనడం కంటే, attackers చాలాసార్లు దాని చుట్టూ ఉన్న బలహీనమైన పాయింట్‌ను లక్ష్యంగా చేసుకుంటారు, ఉదాహరణకు token, password, లేదా development infrastructure‌ను unlock చేసే access workflow.

GitLab వంటి development platforms ఆధునిక software company కేంద్రానికి దగ్గరగా ఉంటాయి. అవి code, collaboration records, release pipelines, మరియు కొన్ని సందర్భాల్లో deployment paths‌ను కూడా expose చేయగలవు. తుది ఉత్పత్తి itself open source అయినప్పటికీ, అవి ఆకర్షణీయమైన targets‌గా మారుస్తాయి.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

స్మార్ట్ టీవీలపై VPN వినియోగం ఇప్పుడు హోమ్-నెట్‌వర్క్ భద్రతా చర్యగా మారుతోంది

స్మార్ట్ టీవీల కోసం రౌటర్-ఆధారిత VPN ను స్ట్రీమింగ్ యాక్సెస్ కోసం మాత్రమే కాకుండా, కనెక్ట్ అయిన హోమ్ పరికరాలన్నింటిలో డేటా బహిర్గతాన్ని తగ్గించే మార్గంగా కూడా ప్రచారం చేస్తున్నారు.

Read article

ఇతర recent ransom decisionsతో పోలిక

TechCrunch recent case involving education technology company Instructure‌తో పోలికను సూచించింది, ఇది allegedly stolen data మరియు తరువాత జరిగిన website defacement‌తో సంబంధించిన separate compromise తర్వాత attackers‌కు payment చేయడానికి agreement‌కు చేరుకుంది. Grafana విరుద్ధ స్థానం తీసుకుంది, refusal మరింత defend చేయదగిన response అని వాదిస్తోంది.

ఆ వైఖరిని చాలా మంది security professionals స్వాగతించే అవకాశం ఉంది, ఎందుకంటే routine ransom payments extortion attacks వెనుక ఉన్న criminal business model‌ను నిలబెట్టుతాయని వారు చాలా కాలంగా వాదిస్తున్నారు. అదే సమయంలో, pay చేయని companies stolen material ఇంకా విడుదలయ్యే అవకాశం ఉందని అంగీకరిస్తాయి.

తర్వాత ఏమి చూడాలి

అత్యంత ముఖ్యమైన unanswered question attackers Grafana యొక్క public code‌కు సంబంధించిన repositories కంటే మరింత ఏదైనా పొందారా అన్నదే. proprietary internal code, credentials, లేదా operational documentation బయటపడ్డాయా అని కంపెనీ ఇంకా చెప్పలేదు. దాని final incident report ఇది ప్రధానంగా ఒక embarrassing extortion attemptనా, లేక మరింత consequential engineering breachనా అనే విషయాన్ని నిర్ణయిస్తుంది.

ఇప్పటికి, స్పష్టమైన facts పరిమితమైనవే కానీ ముఖ్యమైనవి: ఒక stolen token door తెరిచింది, source repositories access అయ్యాయి, company ప్రకారం customer మరియు financial data expose కాలేదు, మరియు Grafana pay చేయకూడదని ఎంచుకుంది.

ఈ వ్యాసం TechCrunch రిపోర్టింగ్ ఆధారంగా ఉంది. మూల వ్యాసాన్ని చదవండి.

NVIDIA
More in News

NVIDIA RTX Sparkను పరిచయం చేసింది, Windows‌లో AI PCs‌ను మరింత లోతుగా తీసుకెళ్లేందుకు

NVIDIA RTX Spark అనే Arm-ఆధారిత Windows PC చిప్‌ను పరిచయం చేసింది; ఇది ల్యాప్‌టాప్‌లు మరియు కాంపాక్ట్ డెస్క్‌టాప్‌ల కోసం 1 petaflop వరకు AI పనితీరును అందించగలదని సంస్థ చెబుతోంది.

Read article

Originally published on techcrunch.com