Teknik

Hackare kopierar Grafana Labs källkod efter stulen åtkomstnyckel till GitLab

Utpressare hotar publicera kodbasen men bolaget vägrar betala, öppen källkod är ändå inte samma sak som inget att stjäla

Bilder

Zack Whittaker Zack Whittaker techcrunch.com

Grafana Labs uppger att angripare tog sig in i företagets utvecklingsmiljö i GitLab genom att använda en stulen åtkomstsymbol och kopierade förråd som innehöll företagets källkod, rapporterar TechCrunch. Företaget, som utvecklar programvara med öppen källkod, säger att åtkomstsymbolen inte gav tillgång till kundregister eller ekonomiska uppgifter. Den stulna uppgiften har spärrats och ytterligare säkerhetsåtgärder har införts. Angriparna försökte därefter pressa Grafana Labs genom att hota att släppa källkoden om en lösensumma inte betalades, men företaget säger att man vägrade.

Händelsen hamnar i en besvärlig skärningspunkt i dagens programvarusäkerhet: koden som driver stora delar av internet utvecklas ofta öppet, men systemen som bygger och levererar den gör det inte. Grafanas främsta produkt är öppen källkod och finns redan tillgänglig för vem som helst att hämta och ändra, vilket gör utpressningshotet mindre rakt än i klassiska fall där angripare hotar att läcka hemligheter. Samtidigt kan utvecklingsförråd innehålla sådant som inte är avsett för offentligheten: interna hjälpverktyg, ännu ej lanserade funktioner, säkerhetsanteckningar eller inloggningsuppgifter som av misstag lagts in i kodbasen. ”Öppen källkod” betyder alltså inte automatiskt ”inget att stjäla”. TechCrunch noterar att det fortfarande är oklart om någon egenutvecklad kod eller annan icke offentlig information togs.

Intrånget visar också varför åtkomstsymboler blivit ett favoritmål. En enda behörighetsuppgift kan gå förbi många av de spärrar som annars skyddar ett företags nät, särskilt när den är kopplad direkt till platsen där kod skrivs, granskas och paketeras. Även om kunddatabaser lämnas orörda skapar åtkomst till källkod risker längre ned i kedjan: angripare kan studera genomförandet i detalj för att hitta svagheter, eller försöka följa upp med angrepp mot utvecklare och bygg- och leveransflöden. Att Grafana hänvisar till den federala polisens standardråd i USA att inte betala lösensummor handlar delvis om denna obalans: en betalning ger inget bevis på att materialet raderas, och den signalerar att utpressning fungerar som affärsmodell.

TechCrunch ställer Grafanas hållning mot ett nyligt fall med utbildningsteknikföretaget Instructure, som enligt uppgift gick med på att betala efter att dess nätverk komprometterats två gånger på kort tid och angripare hotat att släppa uppgifter om personal och elever. Grafanas fall är mindre allvarligt ur integritetssynpunkt, men påminner om hur programvarans leveranskedjor kan pressas även när den omedelbara skadan ser begränsad ut.

Grafana Labs säger att utredningen pågår och att man kommer att dela sina slutsatser när den är klar. Hittills tycks intrånget ha vilat på en enda stulen åtkomstsymbol som öppnade dörren till företagets kodförråd.