Powrót do strony głównej

Grafana odmówiła płacenia hakerom: lekcja cyberbezpieczeństwa

Grafana Labs odmówiła zapłaty okupu hakerskiej grupie Coinbase Cartel, która ukradła kod źródłowy przez podatność w GitHub Actions. Incydent nie dotknął danych klientów, a firma zamieniła atak w publiczną lekcję cyberodporności, stosując się do zaleceń FBI, aby nie finansować szantażystów.

Grafana kontra Coinbase Cartel: dlaczego firma nie zapłaciła okupu za kod
Advertisement 728x90

Grafana odmówiła zapłacenia okupu hakerom za skradziony kod

Złośliwi aktorzy wyciekli repozytoria GitHub, ale dane klientów nie zostały naruszone. Firma zdecydowała się nie ulegać szantażystom i przygotowuje publikację szczegółów włamania


„Nie potrzebujemy cię”: Jak Grafana pokazała hakerom środkowy palec i zamieniła włamanie w lekcję dla całej branży

Piętnastego maja cybergrupa Coinbase Cartel opublikowała Grafana Labs na swojej stronie wycieków z drwiącym dopiskiem: „Możemy wyrządzić ci więcej szkód, niż jesteś w stanie sobie wyobrazić”. Siedemnastego maja Grafana odpowiedziała. Nie pieniędzmi. Krótkim wątkiem na X, który kończył się zdaniem: „Uznaliśmy, że właściwą drogą jest nie płacić okupu”.

Żadnych negocjacji. Żadnych kryzysowych doradców z walizkami bitcoinów. Firma, której oprogramowanie do wizualizacji danych działa w centrach danych połowy Fortune 500, po prostu odmówiła gry według zasad szantażystów. I, sądząc po pierwszych szczegółach śledztwa, miała ku temu żelazne powody.

Google AdInline article slot

Jak token wart zero dolarów otworzył bramy do królestwa

Atak nie był ani skomplikowany, ani elegancki. Złośliwi aktorzy nie włamywali się przez wieloetapowy phishing ani nie używali zero-day. Uzyskali token dostępu do środowiska GitHub Grafana Labs – i to wystarczyło, aby pobrać całą bazę kodu.

Źródło problemu tkwi w konkretnym błędzie technicznym. W jednym z repozytoriów włączono GitHub Action z podatnością typu „Pwn Request” – klasyczna miskonfiguracja na zdarzeniu pull_request_target. Ten trigger pozwalał zewnętrznym kontrybutorom, którzy wysłali pull request, na dostęp do produkcyjnych sekretów podczas przebiegów CI/CD. Złośliwy aktor forknął repozytorium, wstrzyknął złośliwy kod przez curl, wyciekł zmienne środowiskowe do zaszyfrowanego pliku i natychmiast usunął forka, zacierając ślady. Następnie powtórzył atak na czterech kolejnych prywatnych repozytoriach.

Włamanie wykryto dzięki tokenom kanarkowym – Grafana rozmieściła tysiące takich pułapek w infrastrukturze, a zadziałanie jednego z nich natychmiast poderwało globalny zespół bezpieczeństwa. Od tego momentu rozpoczął się wyścig: firma jednocześnie prowadziła analizę kryminalistyczną, unieważniała skompromitowane dane uwierzytelniające i wyłączała podatne workflowy.

Google AdInline article slot

Wynik śledztwa: dane klientów nie zostały naruszone, informacje osobiste nie są zagrożone, wpływ na systemy użytkowników i operacje jest zerowy. Atakujący dotarli tylko do kodu.

Dlaczego Coinbase Cartel to nie tylko hakerzy, ale sojusz legend

Nazwa Coinbase Cartel brzmi niemal komicznie. Ale kryje się za nią grupa, którą analitycy łączą z trzema nazwami budzącymi postrach wśród CISO na całym świecie: ShinyHunters, Scattered Spider i Lapsus$. Te zespoły koordynują działania co najmniej od połowy 2025 roku, a według niektórych źródeł współpracują od 2024 roku.

Taktyka Coinbase Cartel różni się od klasycznych gangów ransomware. Nie szyfrują plików ani nie paraliżują infrastruktury. Kradną wrażliwe dane, żądają okupu za nieujawnienie i metodycznie niszczą reputację tych, którzy odmawiają zapłaty. W momencie ataku na Grafana ich strona wycieków liczyła 105 ofiar. Wśród nich są Instructure (twórca Canvas LMS), Vimeo, Wynn Resorts, Vercel i Medtronic.

Google AdInline article slot

Kontrast między zachowaniem ofiar to osobny dramat. Instructure, którego oprogramowanie edukacyjne obsługuje 275 milionów studentów i nauczycieli, w zeszłym tygodniu zapłacił okup. Grafana – nie. Różnica polega na tym, że u Instructure wyciekły dane użytkowników, a u Grafany – „tylko” kod źródłowy. Gdy stawką jest prywatność ćwierć miliarda ludzi, arytmetyka ryzyka reputacyjnego zmienia się diametralnie.

Otwarty kod, zamknięty kod i kod, za który żądają bitcoinów

Tu pojawia się pytanie, które The Register sformułował z charakterystyczną złośliwością: „Jeśli atakujący pobrali kod, który i tak jest w większości otwarty, po co za niego płacić?”. Grafana to produkt open-source. Ogromna część jego bazy kodu leży publicznie na GitHubie.

Ale diabeł tkwi w szczegółach. Grafana Labs potwierdziła, że atakujący uzyskali dostęp do prywatnych repozytoriów. Może się tam znajdować wszystko: wewnętrzne narzędzia, nieudokumentowane endpointy, logika uwierzytelniania, skrypty konfiguracyjne dla klientów korporacyjnych. Badacze bezpieczeństwa już wskazali, że wyciek takiego kodu przesuwa ryzyko z płaszczyzny „prywatność” na płaszczyznę „mapa drogowa dla przyszłych ataków” – złośliwi aktorzy mogą studiować kod źródłowy miesiącami, szukając wzorców do głębszej penetracji.

Grafana to rozumie. Ale kalkulacja jest prosta: zapłacisz – sfinansujesz ekosystem wymuszeń, nie otrzymując gwarancji, że dane nie wyciekną za tydzień. Nie zapłacisz – kod jest już u atakujących, ale dalsze wycieki nie przyniosą im ani centa. Firma zacytowała stanowisko FBI niemal dosłownie: zapłata tworzy jedynie zachętę do nowych przestępstw.

Rynek bezpieczeństwa otrzymuje darmowe mistrzowskie seminarium

Ten incydent przebudowuje kilka warstw branży jednocześnie. Zyskuje społeczność open-source: Grafana obiecała opublikować szczegółowy post-incident review po zakończeniu śledztwa. Inżynierowie DevOps i DevSecOps na całym świecie otrzymają realny przypadek z wektorem ataku, osią czasu i środkami zaradczymi – nie syntetyczny scenariusz z treningu, ale bojowe doświadczenie.

Tracą firmy, które do tej pory nie sprawdziły swoich GitHub Actions pod kątem podatności pull_request_target. Badacze nazywają tę powierzchnię ataku „masowo niedocenianą” w całym ekosystemie open-source. Każde publiczne repozytorium, które merguje PR od zewnętrznych kontrybutorów bez dokładnego audytu workflow, teraz wygląda jak potencjalny cel.

Tracą także negocjatorzy okupów. Im częściej firmy publicznie odmawiają płacenia – i przetrwają bez katastrofalnych konsekwencji – tym słabsza pozycja wymuszeń na negocjacjach. Grafana stworzyła precedens: można stracić kod i kontynuować pracę bez zakłóceń, jeśli architektura bezpieczeństwa od początku oddziela dane użytkowników od narzędzi deweloperskich.

Co zmieni się po 17 maja

Grafana już unieważniła skompromitowane tokeny, wyłączyła podatny GitHub Action i zatrzymała wszystkie workflowy w publicznych repozytoriach na czas audytu. W najbliższych tygodniach firma opublikuje końcowy raport. Będzie to jeden z najczęściej czytanych dokumentów w świecie DevSecOps – poziom zainteresowania porównywalny z analizą włamania do SolarWinds.

Spodziewam się trzech konkretnych konsekwencji. Po pierwsze: GitHub zaostrzy domyślne ustawienia pull_request_target lub przynajmniej doda bardziej agresywne ostrzeżenia w interfejsie. Zbyt wiele firm wchodzi na te same grabie. Po drugie: Coinbase Cartel zwiększy presję. Mają 105 ofiar w portfolio, a publiczna odmowa Grafany to cios w ich model biznesowy. Odwet może nastąpić, być może w postaci wycieku skradzionego kodu na shadowowe fora. Po trzecie: CISO na całym świecie właśnie teraz piszą zapytania do swoich zespołów: „Sprawdźcie, czy nie mamy pull_request_target z dostępem do sekretów”. I to jest chyba najlepszy możliwy wynik całego incydentu.

Grafana pokazała, jak wygląda dojrzała postawa: ani paniki, ani zaprzeczania, ani walizek z kryptowalutą. Po prostu chłodna analiza techniczna, unieważnienie tokenów i praca nad błędami w czasie rzeczywistym. Hakerzy ukradli kod – ale nie kontrolę. A w świecie, gdzie ransomware stał się przemysłem z wielomiliardowymi obrotami, taka odpowiedź jest warta więcej niż jakikolwiek okup.

— Editorial Team

Advertisement 728x90

Czytaj dalej

Wiadomości partnerów