Grafana: token rubato, codebase copiato e riscatto con FBI
Grafana conferma: token GitHub rubato, codebase copiato. Riscatto negato con FBI; CoinbaseCartel rivendica l'attacco a vendor tra quasi il 70% delle Fortune 50.
Contenuto
Grafana Labs ha confermato oggi che un token di accesso GitHub rubato ha consentito a un attaccante di violare il proprio ambiente di sviluppo e scaricare il codebase. L'azienda, utilizzata da oltre 7.000 organizzazioni e da quasi il 70% delle Fortune 50, ha ricevuto una richiesta di riscatto che ha scelto di non pagare seguendo le indicazioni dell'FBI. L'episodio, rivendicato dal gruppo CoinbaseCartel, riaccende il dibattito sulla resilienza degli ambienti cloud e sulle strategie di risposta alle estorsioni nel settore tech.
- Un token di accesso GitHub rubato ha permesso il download del codebase di Grafana; l'azienda esclude l'accesso a dati cliente o informazioni personali.
- L'attaccante ha tentato un'estorsione economica per non pubblicare il codice sorgente, ma Grafana ha rifiutato di pagare citando le raccomandazioni pubbliche dell'FBI.
- Il gruppo CoinbaseCartel ha rivendicato l'attacco aggiungendo Grafana al proprio data leak site, pur senza averne ancora resa pubblica la leak.
- Secondo Halcyon e Fortinet FortiGuard Labs, CoinbaseCartel è una crew di data theft and extortion emersa nel settembre 2025 e valutata come offshoot dell'ecosistema ShinyHunters, Scattered Spider e LAPSUS$.
Il token GitHub compromesso e l'accesso al codice sorgente
Grafana Labs ha confermato nella disclosure del 18 maggio 2026 che una parte non autorizzata ha ottenuto un token di accesso GitHub che concedeva accesso all'ambiente GitHub dell'azienda. Utilizzando quel token, l'attaccante ha scaricato il codebase. L'indagine interna non ha trovato prove di accesso a dati cliente o informazioni personali, né impatti sui sistemi dei clienti o sulle loro operazioni. In un post su X citato da The Hacker News, l'azienda ha dichiarato: "Our investigation has determined that no customer data or personal information was accessed during this incident, and we have found no evidence of impact to customer systems or operations".
Ciò che rimane non divulgato è altrettanto significativo per chi gestisce infrastrutture enterprise. Grafana non ha comunicato in che modo il token è stato compromesso, né la data esatta o la durata dell'accesso non autorizzato. Il contenuto specifico e la dimensione del codebase scaricato restano ignoti, così come eventuali revisioni di sicurezza derivanti dalla review del codice esfiltrato. Questa opacità impedisce di valutare la gravità residua dell'incidente e complica la gestione del rischio per gli utenti che si affidano alla piattaforma per il monitoring di sistemi critici.
La richiesta di riscatto e il rifiuto con l'FBI
Dopo l'esfiltrazione, l'attaccante ha tentato di estorcere denaro a Grafana per impedire la pubblicazione del codice sorgente rubato. L'azienda ha scelto di non pagare. In una dichiarazione riportata da BleepingComputer, Grafana Labs ha spiegato:
"Based on our operational experience and the published stance of the FBI, which notes that paying a ransom doesn't guarantee you or your organization will get any data back and only offers an incentive for others to get involved in this type of illegal activity, we've determined the appropriate path forward is not to pay the ransom"
— Grafana Labs, via BleepingComputer
La scelta di pubblicare la citazione delle raccomandazioni federali trasforma la risposta in un segnale politico, non solo tecnico, rivolto tanto agli stakeholder quanto al mercato delle estorsioni. Il rifiuto di negoziare non elimina però il rischio concreto per l'ecosistema. Il codice sorgente resta nelle mani del gruppo criminale e la sua eventuale diffusione potrebbe esporre l'architettura interna della piattaforma, facilitando la ricerca di vulnerabilità da sfruttare in futuro. Anche senza una leak immediata, la sola consapevolezza che il codice sia disponibile a soggetti ostili altera il rapporto di minaccia, spingendo i red team e i ricercatori a una vigilanza maggiore.
CoinbaseCartel e l'ecosistema delle estorsioni senza ransomware
L'attacco è stato rivendicato da CoinbaseCartel, che ha aggiunto Grafana al proprio data leak site anche se, al momento della disclosure, non risulta ancora alcuna pubblicazione effettiva del codice. Secondo quanto riportato da The Hacker News citando Halcyon e Fortinet FortiGuard Labs, il gruppo è emerso nel settembre 2025 ed è valutato come offshoot dell'ecosistema criminale legato a ShinyHunters, Scattered Spider e LAPSUS$. La crew opera con tattiche di data theft and extortion, senza il deploy di ransomware tradizionale, spesso sfruttando social engineering e credenziali compromesse per ottenere l'accesso iniziale.
I numeri associati all'attività del gruppo oscillano in base alle fonti: BleepingComputer segnala oltre 100 vittime annunciate sul portale di leak, mentre le stime di Halcyon e Fortinet indicano circa 170 obiettivi complessivi. Questa discrepanza riflette la fluidità dei conteggi nei ecosistemi di extortion, dove una stessa crew può rivendicare attacchi raccolti da fonti diverse o riutilizzare brand affini per rafforzare la propria visibilità. L'assenza di ransomware tradizionale rende inoltre più complessa l'attribuzione e la risposta incidenti, poiché non ci sono payload crittografici da analizzare.
Il rischio nascosto del codice sorgente esposto
Anche in assenza di dati cliente, l'esposizione del codebase di un vendor di infrastruttura monitoring rappresenta un problema di supply chain difficilmente contenibile. Il codice sorgente può contenere dettagli architetturali, logica di autenticazione interna o riferimenti a endpoint non documentati, che un attaccante può analizzare per costruire exploit mirati. Con quasi il 70% delle aziende Fortune 50 e oltre 7.000 organizzazioni che utilizzano la piattaforma, la superficie di rischio si estende ben oltre i confini di Grafana Labs, coinvolgendo potenzialmente ogni ambiente dove il software è installato on-premise o servito via cloud.
L'azienda non ha rilasciato dettagli su patch specifiche o modifiche strutturali conseguenti alla review del codice esfiltrato. Questa mancanza di informazioni lascia gli utenti enterprise senza un indicatore chiaro di mitigazione, costretti a monitorare autonomamente le proprie integrazioni fino a nuovi aggiornamenti. In assenza di una timeline tecnica pubblica, il rischio residuo si trasforma in una postura di difesa permanente, dove il valore dell'esposizione si misura in mesi o anni di attenzione aggiuntiva.
Cosa fare adesso
- Ruotare i token e i secrets: le organizzazioni devono considerare la rotazione immediata di tutti i token GitHub e dei segreti condivisi negli ambienti di CI/CD, anche se non direttamente coinvolti nell'incidente, per prevenire accessi laterali basati su credenziali potenzialmente esposte nel codice.
- Attivare audit logging avanzato: abilitare logging dettagliato sugli ambienti di hosting del codice sorgente per rilevare accessi anomali ai repository, download massivi di codice o operazioni sospette da parte di account di servizio.
- Ridurre i permessi dei token: rivedere le policy di accesso ai repository limitando i permessi dei token di automazione al principio del minimo privilegio, evitando scope troppo ampi che consentano il download dell'intero codebase.
- Monitorare l'attack surface: verificare regolarmente la presenza di credenziali, chiavi API o frammenti di codice proprietario esposti su data leak site e repository pubblici, in attesa di eventuali pubblicazioni da parte del gruppo.
Il gesto di Grafana Labs rappresenta una presa di posizione netta nel mercato delle estorsioni, ma non chiude la partita. Il codice sorgente resta un bersaglio mobile nelle mani di un gruppo che ha dimostrato velocità e scarsa esitazione nel ricattare vendor enterprise. La verità su questo incidente si misurerà non solo sulla base della decisione di non pagare, ma sulla capacità dell'azienda di individuare e sanare eventuali vulnerabilità rivelate dal codebase esposto, prima che altri le trovino.
Domande frequenti
I dati dei clienti Grafana sono stati compromessi?
No. Secondo la disclosure ufficiale, l'indagine non ha trovato prove di accesso a dati cliente o informazioni personali, né impatti sui sistemi dei clienti o sulle loro operazioni.
Come è stato rubato il token GitHub?
Grafana Labs non ha divulgato il vettore di compromissione del token. Il meccanismo esatto del furto rimane sconosciuto e non è possibile al momento attribuire l'accesso iniziale a una specifica tecnica.
Il codice sorgente è stato pubblicato?
Al momento non risulta una leak pubblica del codice. CoinbaseCartel ha aggiunto Grafana al proprio data leak site, ma il materiale esfiltrato non è stato ancora reso disponibile.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/7-eleven-data-breach-confirmed-after-shinyhunters-ransom-demand/
- https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html
- https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/
- https://thehackernews.com/2026/05/grafana-github-token-breach-led-to.html
- https://cert-agid.gov.it/news/agenzia-delle-entrate-campagna-di-phishing-mirata-alle-pubbliche-amministrazioni/
- https://www.bleepingcomputer.com/news/security/grafana-says-stolen-github-token-let-hackers-steal-codebase/