#grafana

Grafana Labsが、盗まれた GitHub access token を悪用され、ソースコードをダウンロードされたと明らかにした 顧客データや個人情報は漏れていないと現時点では説明している 攻撃者は身代金を要求したが、Grafanaは支払いを拒否した 犯行声明を出したのは、比較的新しい恐喝グループ CoinbaseCartel 侵入経路の中心は、いかにも地味だけど怖い 資格情報の漏えい だった Grafana Labsが、GitHub環境に侵入され、ソースコードをダウンロードされたと公表しました。侵入に使われたのは、盗まれた access token です。 access token は、ざっくり言うと「この人は正規の利用者です」とサービスに証明するためのデジタルな鍵です。これが漏れると、パスワードを知らなくても、正規ユーザーのふりをしてアクセスされることがあります。 個人的には、ここがこの事件のいちばん嫌なところだと思います。派手なゼロデイ攻撃ではなく、まず「鍵を盗む」だけで中に入っている