Grafanaのデータ侵害は、先週のTanStack npmサプライチェーン攻撃に続く回転プロセスから漏れた単一のGitHubワークフロートークンによって引き起こされました。
TeamPCPハッカーに起因する継続中のShai-Huludマルウェアキャンペーンでは、ビデオプレーヤーが現在広告を再生しています。マウスまたはキーボードで5秒でスキップできます
同社は5月1日に侵害されたTanStackパッケージからの悪質なアクティビティを検出し、GitHubワークフロートークンのローテーションを含むインシデント対応計画を直ちに展開したと説明しています。
しかし、プロセス中に1つのトークンが見落とされ、攻撃者がそれを使用して会社のプライベートリポジトリにアクセスしました。
「分析を実施し、GitHubワークフロートークンを大量にすばやくローテーションしましたが、見落とされたトークンにより攻撃者が当社のGitHubリポジトリにアクセスできました」とGrafanaのアップデートに記載されています。
「その後のレビューで、元々影響を受けていないと判断した特定のGitHubワークフローが実は侵害されていたことが確認されました。」
以前、同社は侵入者がソースコードを盗んだことを確認し、顧客への影響がないことを保証し、ハッカーが身代金を受け取らないと述べました。
継続的な調査により、侵入者はGrafanaがビジネスに使用する運用情報と詳細もダウンロードしたことが明らかになりました。
「これには、プロフェッショナルな関係のコンテキストで交換される営業上の連絡先名とメールアドレスが含まれており、本番システムまたはGrafana Cloudプラットフォームの使用を通じて引き出されたり処理されたりする情報ではありません」-Grafana
同社は、これが顧客の本番データではなく、最新の証拠と調査によれば、顧客の本番システムまたは運用に影響を与えていないことを強調しています。
Grafana Labsはまた、インシデント中にコードベースが変更されていないと指摘し、イベント全体を通じてユーザーがダウンロードしたコードは安全と見なされ、ユーザーは何のアクションも取る必要がないと述べました。
その評価が進行中の調査からの新しい証拠に基づいて変わった場合、Grafana Labsは影響を受けた顧客に直接通知することを約束しました。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実質的な価値を提供しますが、1つの質問に答えるために構築されました:攻撃者はネットワークを移動できますか?それらは、コントロールが脅威をブロックするか、検出ルールが発火するか、またはクラウド構成が機能するかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つの表面をカバーしています。
