Grafana Labs, le fabricant de son populaire logiciel de visualisation Web open source éponyme, a confirmé qu’il avait été piraté mais qu’il avait refusé de payer les pirates qui avaient menacé de divulguer la base de code de l’entreprise.
Dans une série de publications sur les réseaux sociaux, le laboratoire a déclaré que son enquête avait révélé que les pirates avaient abusé d’un jeton d’identification volé qui permettait d’accéder à l’environnement GitLab de l’entreprise, qu’elle utilise pour le développement de code. Le jeton ne donnait pas accès aux dossiers des clients ou aux données financières, mais permettait aux pirates informatiques d’obtenir les référentiels de code source de l’entreprise. La société a depuis invalidé le jeton et ajouté des mesures de sécurité supplémentaires pour éviter un incident répété.
« L’attaquant a tenté de nous faire chanter, exigeant un paiement pour empêcher la publication de notre base de code », a déclaré la société.
Le code de Grafana est open source et public, ce qui signifie que n’importe qui peut télécharger le logiciel et modifier son code avant de l’exécuter sur ses propres machines. On ne sait pas si les pirates ont volé du code ou des informations exclusives. Un porte-parole de l’entreprise n’a pas immédiatement répondu à une demande de commentaire.
Cet incident contraste avec le récent piratage du géant des technologies éducatives Instructure, qui a « conclu un accord » la semaine dernière pour payer les pirates qui avaient compromis son réseau à deux reprises ces dernières semaines. Les pirates avaient exigé une rançon non précisée, menaçant de divulguer des données volées sur le personnel et les étudiants qui utilisent son logiciel à la suite d’une violation massive de données et d’une dégradation ultérieure du site Web.
Alors que dans le cas de Grafana, aucune donnée client n’a été récupérée, la société a cité les conseils de longue date du FBI exhortant les victimes à ne pas payer les pirates, car coopérer avec les pirates ne garantit pas qu’ils restitueront les données volées ou s’abstiendront de les publier plus tard. Les critiques affirment également que payer les cybercriminels contribue à financer de futures cyberattaques.
Grafana a déclaré que son enquête était en cours et qu’il partagerait ses conclusions une fois son enquête terminée.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
