开源监控工具Grafana的开发商Grafana Labs上周遭遇了一次不请自来的开源——黑客窃取了他们的代码库,然后开价要钱,威胁不付就公开。Grafana Labs的回应很硬气:拒绝。
这大概是上周科技圈最戏剧化的一场安全事件。
事件经过并不复杂:攻击者拿到了一组被窃的GitHub访问令牌,进了Grafana Labs的代码仓库。令牌权限有限,团队调查后确认,客户数据和财务信息没被碰过——攻击者能看到的,主要是源码本身。
有意思的地方来了:Grafana的核心产品本身就是开源的。任何人去官网下载、部署、自行修改代码都是合法的。换句话说,黑客拿到手里的赃物,其实网上随便都能下载到。那黑客凭什么拿这个要价?他们的逻辑大概是:你不想让我公开你的内部版本、你的一些专有模块和开发分支吧?
Grafana Labs没吃这套。公司在社交媒体上发了一连串声明,核心意思就一句:我们不会付钱。声明还引用了FBI长期以来的建议:不要向网络罪犯支付赎金,因为付了也不保证他们真的删除数据、不保证不再次出售。
这个立场在行业内正在成为主流。前脚教育科技公司Instructure刚支付了一笔赎金,换来的是黑客两次入侵、一次网页篡改之后的数据泄露,后脚Grafana就选了另一条路。付钱买平安的故事在网络安全圈从来不是孤例,但越来越多的公司开始意识到:这是一条没有尽头的路,今天你付了,明天还有下一波。
Grafana已经撤销了被滥用的令牌,加设了几道额外的安全锁,后续会公布完整调查报告。
这起事件提出了一个老问题:开源软件被黑,到底谁该负责?Grafana的代码摆在那里,人人都能看,安全漏洞被发现是迟早的事。但反过来想,如果不是开源,全世界开发者共同审查代码的机制就不存在了,隐患可能埋得更深、爆得更晚。
这大概是开源世界的悖论:透明让漏洞暴露得更快,但也让修复变得更集体、更及时。
对普通用户而言,这件事的实际影响几乎为零——Grafana的产品没有出现任何数据泄露,服务一切正常。但对整个行业来说,这是一场关于勒索信该怎么回的投票,而Grafana投了拒绝票。
这票投出去,市场会记住的。