Grafana-GitHub-Tokenleck führte zu Download der Codebasis und versuchter finanzieller Erpressung

Grafana wurde infolge eines GitHub-Tokenlecks Ziel eines Angriffs mit Download von Quellcode und Datenerpressung, lehnte jedoch gemäß den Empfehlungen des FBI die Zahlung eines Lösegelds ab.

Vollständige Übersetzung

Grafana teilte mit, dass eine „nicht autorisierte Partei“ Zugriff auf die GitHub-Umgebung des Unternehmens erlangt und ein Token beschafft habe, mit dem sich der Quellcode herunterladen ließ.

In einer Reihe von Beiträgen auf X (ehemals Twitter) erklärte Grafana, die eigene Untersuchung habe ergeben, dass während des Vorfalls weder auf Kundendaten noch auf personenbezogene Informationen zugegriffen worden sei. Außerdem habe man keine Hinweise auf Auswirkungen auf Kundensysteme oder den Betrieb gefunden.

Das Unternehmen erklärte außerdem, unmittelbar nach Entdeckung der Aktivitäten eine forensische Analyse eingeleitet und die Quelle des Lecks identifiziert zu haben. Die kompromittierten Zugangsdaten seien anschließend ungültig gemacht worden, und zusätzliche Sicherheitsmaßnahmen seien umgesetzt worden, um unbefugten Zugriff zu verhindern.

Darüber hinaus erklärte Grafana, die Angreifer hätten versucht, das Unternehmen zu erpressen, und gefordert, für die Verhinderung einer Veröffentlichung der gestohlenen Datenbank zu zahlen.

Grafana entschied sich unter Verweis auf die Empfehlungen des Federal Bureau of Investigation (FBI), kein Lösegeld zu zahlen. Das FBI hat bereits zuvor davor gewarnt, dass Verhandlungen mit Kriminellen über Lösegeld keine Garantie dafür bieten, dass betroffene Unternehmen ihre Daten zurückerhalten.

Auf seiner Website erklärt das FBI: „Dies ermutigt Kriminelle außerdem dazu, weitere Opfer ins Visier zu nehmen, und schafft Anreize für andere, sich an dieser Art illegaler Aktivitäten zu beteiligen.“

Grafana machte keine Angaben dazu, wann sich der Vorfall ereignet hat oder seit wann der Bedrohungsakteur Zugriff auf die eigene Umgebung hatte, und erklärte lediglich, man habe erst „vor Kurzem“ von dem Angriff erfahren. Der Vorfall wurde bislang keinem bekannten Bedrohungsakteur oder keiner bekannten Gruppe zugeschrieben.

Berichten von Hackmanac und Ransomware.live zufolge hat jedoch die Cybercrime-Gruppe CoinbaseCartel die Verantwortung für den Vorfall für sich beansprucht.

Nach Angaben von Halcyon und Fortinet FortiGuard Labs ist CoinbaseCartel eine Daten-Erpressungsgruppe, die im September 2025 aufgetaucht ist. Sie wird als Ableger des Ökosystems von ShinyHunters, Scattered Spider und LAPSUS$ eingeordnet.

Im Gegensatz zu traditionellen Ransomware-Gruppen konzentriert sich diese Gruppe ausschließlich auf Datendiebstahl und Erpressung und hat in den Bereichen Gesundheitswesen, Technologie, Transport, Fertigung und Unternehmensdienstleistungen 170 Opfer hervorgebracht.

Das Unternehmen machte keine Angaben dazu, welchen Quellcode die Angreifer heruntergeladen haben. Grafana bietet jedoch verschiedene Lösungen an, darunter Grafana Cloud, eine vollständig verwaltete Cloud-Hosting-Observability-Plattform für Anwendungen und Infrastruktur. The Hacker News hat Grafana um eine Stellungnahme gebeten und will den Bericht nach Eingang einer Antwort aktualisieren.

Der Vorfall ereignete sich nur wenige Tage nach der umstrittenen Entscheidung des US-Bildungstechnologieunternehmens Instructure, sich mit der Erpressergruppe ShinyHunters zu einigen, nachdem diese damit gedroht hatte, mehrere Terabyte an Daten von Tausenden Schulen und Hochschulen in den gesamten USA zu veröffentlichen.