Grafana odmítla zaplatit hackerům výkupné za ukradený kód
Útočníci zveřejnili repozitáře GitHubu, ale data klientů nebyla zasažena. Společnost se rozhodla nepodlehnout vyděračům a připravuje zveřejnění podrobností o hacku
„Nepotřebujeme tě“: Jak Grafana poslala hackery do háje a proměnila hack v lekci pro celý průmysl
Patnáctého května kybernetická skupina Coinbase Cartel zveřejnila Grafana Labs na svém únikovém webu s posměšným dovětkem: „Můžeme vám ublížit víc, než si dokážete představit.“ Sedmnáctého května Grafana odpověděla. Ne penězi. Krátkým vláknem na X, které končilo větou: „Zjistili jsme, že správná cesta je neplatit výkupné.“
Žádná vyjednávání. Žádní krizoví konzultanti s kufříky bitcoinů. Společnost, jejíž software pro vizualizaci dat běží v datových centrech poloviny Fortune 500, prostě odmítla hrát podle pravidel vyděračů. A soudě podle prvních detailů vyšetřování, k tomu měla železné důvody.
Jak token v hodnotě nula dolarů otevřel brány do království
Útok nebyl ani složitý, ani elegantní. Útočníci nepronikli perimetrem pomocí vícestupňového phishingu ani nepoužili zero-day. Získali přístupový token k GitHub prostředí Grafana Labs – a to stačilo ke stažení celé kódové báze.
Kořen problému spočívá v konkrétní technické chybě. V jednom z repozitářů byla povolena GitHub Action se zranitelností typu „Pwn Request“ – klasická miskonfigurace na události pull_request_target. Tento trigger umožnil externím přispěvatelům, kteří poslali pull request, získat přístup k produkčním tajemstvím během CI/CD běhů. Útočník forknul repozitář, vložil škodlivý kód přes curl, vycucal proměnné prostředí do zašifrovaného souboru a okamžitě fork smazal, aby zakryl stopy. Poté útok zopakoval na dalších čtyřech soukromých repozitářích.
Průnik byl odhalen díky canary tokenům – Grafana rozmístila tisíce takových pastí po infrastruktuře a spuštění jednoho z nich okamžitě aktivovalo globální bezpečnostní tým. Od té chvíle začal závod: společnost současně prováděla forenzní analýzu, odvolávala kompromitované přihlašovací údaje a vypínala zranitelné workflow.
Výsledek vyšetřování: data klientů nebyla nedotčena, osobní informace nebyly zasaženy, dopad na uživatelské systémy a provoz je nulový. Útočníci se dostali pouze ke kódu.
Proč Coinbase Cartel nejsou jen hackeři, ale aliance legend
Název Coinbase Cartel zní téměř komicky. Ale za ním stojí skupina, kterou analytici spojují hned se třemi jmény, která nahánějí hrůzu CISO po celém světě: ShinyHunters, Scattered Spider a Lapsus$. Tyto týmy koordinují akce přinejmenším od poloviny roku 2025, podle některých zdrojů spolupracují od roku 2024.
Taktika Coinbase Cartel se liší od klasických ransomware gangů. Nešifrují soubory ani neparalyzují infrastrukturu. Kradou citlivá data, požadují výkupné za nezveřejnění a metodicky ničí reputaci těch, kteří odmítnou zaplatit. V době útoku na Grafana měl jejich únikový web 105 obětí. Mezi nimi jsou Instructure (tvůrce Canvas LMS), Vimeo, Wynn Resorts, Vercel a Medtronic.
Kontrast mezi chováním obětí je samostatné drama. Instructure, jehož vzdělávací software obsluhuje 275 milionů studentů a učitelů, minulý týden vyděračům zaplatila. Grafana ne. Rozdíl je v tom, že Instructure unikla uživatelská data, zatímco Grafana „jen“ zdrojové kódy. Když je v sázce soukromí čtvrt miliardy lidí, aritmetika reputačních rizik se zásadně mění.
Otevřený kód, uzavřený kód a kód, za který chtějí bitcoin
Zde vyvstává otázka, kterou The Register formuloval s typickou jízlivostí: „Pokud útočníci stáhli kód, který je stejně z velké části otevřený, proč za něj platit?“ Grafana je open-source produkt. Obrovská část jeho kódové báze je veřejně na GitHubu.
Ale ďábel je v detailech. Grafana Labs potvrdila, že útočníci získali přístup k soukromým repozitářům. Může se tam nacházet cokoliv: interní nástroje, nedokumentované endpointy, logika autentizace, konfigurační skripty pro firemní klienty. Bezpečnostní výzkumníci již upozornili, že únik takového kódu posouvá riziko z roviny „soukromí“ do roviny „cestovní mapa pro budoucí útoky“ – útočníci mohou zdrojové kódy studovat měsíce a hledat vzory pro hlubší proniknutí.
Grafana to chápe. Ale kalkulace je jednoduchá: zaplatíš – financuješ ekosystém vydírání, aniž bys dostal záruku, že data neuniknou za týden. Nezaplatíš – kód už je u útočníků, ale další úniky jim nepřinesou ani cent. Společnost citovala postoj FBI téměř doslovně: placení jen vytváří motivaci pro další zločiny.
Bezpečnostní trh dostává bezplatnou mistrovskou lekci
Tento incident přestavuje několik vrstev průmyslu najednou. Vyhrává open-source komunita: Grafana slíbila, že po dokončení vyšetřování zveřejní podrobný post-incident review. DevOps a DevSecOps inženýři po celém světě získají reálný případ s vektorem útoku, časovou osou a opatřeními – ne syntetický scénář z tréninku, ale bojovou zkušenost.
Prohrávají společnosti, které dosud nezkontrolovaly své GitHub Actions na zranitelnost pull_request_target. Výzkumníci označují tuto útočnou plochu za „masivně podceňovanou“ napříč celým open-source ekosystémem. Každý veřejný repozitář, který merguje PR od externích přispěvatelů bez důkladného auditu workflow, nyní vypadá jako potenciální cíl.
Prohrávají i vyjednavači o výkupném. Čím častěji společnosti veřejně odmítají platit – a přežijí bez katastrofálních následků – tím slabší je pozice vyděračů při vyjednávání. Grafana vytvořila precedens: lze přijít o kód a pokračovat v provozu bez přerušení, pokud bezpečnostní architektura od počátku odděluje uživatelská data od vývojářských nástrojů.
Co se změní po 17. květnu
Grafana již odvolala kompromitované tokeny, vypnula zranitelnou GitHub Action a na dobu auditu zastavila všechna workflow ve veřejných repozitářích. V nadcházejících týdnech společnost zveřejní finální zprávu. Stane se jedním z nejčtenějších dokumentů ve světě DevSecOps – úroveň zájmu je srovnatelná s rozborem hacku SolarWinds.
Očekávám tři konkrétní důsledky. Zaprvé: GitHub zpřísní výchozí nastavení pull_request_target nebo alespoň přidá agresivnější varování v rozhraní. Příliš mnoho společností šlape na stejné hrábě. Zadruhé: Coinbase Cartel zvýší tlak. Mají 105 obětí v portfoliu a veřejné odmítnutí Grafany je úderem pro jejich obchodní model. Odveta přijde, možná v podobě úniku ukradeného kódu na stínová fóra. Zatřetí: CISO po celém světě právě teď píší žádosti svým týmům: „Zkontrolujte, jestli nemáme pull_request_target s přístupem k tajemstvím.“ A to je asi nejlepší možný výsledek celého incidentu.
Grafana ukázala, jak vypadá zralý postoj: žádná panika, žádné popírání, žádné kufry s kryptem. Prostě chladný technický rozbor, odvolání tokenů a práce na chybách v reálném čase. Hackeři ukradli kód – ale ne kontrolu. A ve světě, kde se ransomware stal průmyslem s mnohamiliardovým obratem, má taková odpověď větší cenu než jakékoliv výkupné.
— Editorial Team