उत्तरप्रकाशित3 सप्ताह पहलेLast edited 2 सप्ताह पहले17 स्रोत

Grafana GitHub टोकन ब्रीच और सोर्स‑कोड एक्सटॉर्शन की पूरी कहानी

Grafana Labs ने खुलासा किया कि एक समझौता किए गए GitHub टोकन की मदद से हमलावर ने निजी कोड रिपॉज़िटरी डाउनलोड कर ली और बाद में उसे लीक न करने के बदले फिरौती मांगी। हमला GitHub Actions वर्कफ़्लो की कमजोरी से जुड़ा था, जहाँ हमलावर ने रिपॉज़िटरी फोर्क करके कमांड इंजेक्ट की और क्रेडेंशियल्स निकाल लिए। Grafana ने कहा कि इस...

Studio Global AI के साथ खोजें और तथ्यों की जांच करें और ट्रेंडिंग पेज देखें

1.8M0

Illustration of a GitHub token breach exposing private source code repositories — What happened in the Grafana Labs security breach involving a compromised GitHub token and stolen private source code, why did the company rAttackers exploited a compromised GitHub token to download private Grafana source code repositories, triggering an extortion attempt.
AI संकेत
Create a landscape editorial hero image for this Studio Global article: What happened in the Grafana Labs security breach involving a compromised GitHub token and stolen private source code, why did the company r. Article summary: Grafana Labs said an attacker used a compromised GitHub token to access its GitHub environment and download private code repositories, then demanded a ransom, which the company refused to pay.[3][7][8] Grafana said it fo. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "AI Voice Cloning: The Technology Behind It, Who's Building It, and Where It's Headed. ###### AI Voice Cloning: The Technology Behind It, Who’s Building It, and Where It’s Headed. G" source context "Grafana Says It Rejected Ransom Demand After Source Code Theft" Reference image 2: visual subject "AI Voice Cloning: The Technology
openai.com

2025 में साइबर सुरक्षा शोधकर्ताओं और डेवलपर समुदाय का ध्यान तब गया जब Grafana Labs ने खुलासा किया कि एक हमलावर ने उसके GitHub वातावरण के कुछ हिस्सों तक पहुँच बना ली थी और निजी सोर्स‑कोड रिपॉज़िटरी डाउनलोड कर ली थीं। यह घटना प्रोडक्शन सिस्टम या ग्राहक डेटा से जुड़ी नहीं थी, लेकिन इसके बाद हमलावर ने कंपनी से पैसे मांगकर कोड सार्वजनिक न करने की धमकी दी — जिसे Grafana ने ठुकरा दिया।

यह मामला दिखाता है कि आजकल हमलावर सीधे सर्वर पर हमला करने के बजाय डेवलपर इंफ्रास्ट्रक्चर—जैसे GitHub टोकन, ऑटोमेशन वर्कफ़्लो और CI/CD पाइपलाइन—को निशाना बना रहे हैं।

Grafana ब्रीच में वास्तव में क्या हुआ

Grafana Labs के अनुसार, एक अनधिकृत हमलावर ने ऐसा GitHub एक्सेस टोकन हासिल कर लिया जिससे कंपनी के GitHub वातावरण के कुछ हिस्सों में प्रवेश मिल सकता था। उसी टोकन का इस्तेमाल कर हमलावर ने निजी रिपॉज़िटरी से सोर्स कोड डाउनलोड कर लिया।

जांच में सामने आया कि यह समस्या GitHub Actions वर्कफ़्लो में मौजूद कमजोरी से जुड़ी थी। हमलावर ने रिपॉज़िटरी का एक फोर्क बनाया और उसमें कमांड इंजेक्ट कर दीं, जिससे वर्कफ़्लो वातावरण से environment variables और क्रेडेंशियल्स निकाले जा सके।

इन क्रेडेंशियल्स का उपयोग करके हमलावर कुछ निजी रिपॉज़िटरी तक पहुँच गया और उनका डेटा डाउनलोड कर लिया। घटना का पता लगते ही Grafana ने:

प्रभावित टोकन तुरंत रद्द कर दिए
कमजोर वर्कफ़्लो को बंद किया
अतिरिक्त सुरक्षा उपाय लागू किए

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AI के साथ खोजें और तथ्यों की जांच करें

लोग पूछते भी हैं