可观测性解决方案厂商 Grafana Labs 近日披露，一名攻击者非法访问了其 GitHub 仓库，并窃取了公司的代码库。

在社交媒体发布的声明中，该公司将此次事件归咎于一个“未经授权的第三方”。该第三方通过某种手段获取了一个能够访问其 GitHub 环境的令牌（token）。

公司表示，认为自己已经查明了凭证泄露的源头，因此“已作废了受损的凭证，并实施了额外的安全措施，以进一步保护我们的环境免受未经授权的访问。”

但这并未阻止攻击者威胁 Grafana，声称如果不支付赎金，就将公开公司的代码。

Grafana 明确表示，他们不会支付赎金。

Grafana 在声明中写道：“基于我们的运营经验以及美联邦调查局（FBI）发布的公开立场——即‘支付赎金并不能保证你或你的组织能够找回任何数据’，并且只会‘激励其他人参与此类非法活动’——我们已确定，不支付赎金才是正确的应对之道。”

目前尚不清楚这一立场是否完全出于原则性考量，因为 Grafana 的许多产品本身已经是开源的。不过该公司的声明暗示，攻击者访问的是一些并非公开可用的代码。

这里的疑问是，如果黑客拿走的代码大部分原本就是开源的，那 Grafana 确实没什么理由去支付赎金！

对于 Grafana 来说，拒绝支付赎金的决定可能比其他网络犯罪受害者更容易做出，因为该公司表示，其“已确定此次事件中没有客户数据或个人信息被访问，且未发现对客户系统或运营造成任何影响的证据。”

因此，公司似乎确信，无论攻击者下载了什么代码，都不会对其业务产生实质性影响，也不会损害客户的利益。

但教育软件巨头 Canvas（Instructure）的情况就并非如此了，该公司上周向勒索者支付了赎金，因为对方声称窃取了描述超过 2.75 亿名学生和教职员工信息的数据。