Grafana Labs rifiuta il riscatto dopo che gli hacker hanno rubato codice già open source

      Gli hacker hanno esfiltrato un codice sorgente che era già open source, poi hanno chiesto un pagamento per impedire che venisse rilasciato. Grafana ha detto di no, citando il consiglio costante dell'FBI. È il secondo caso di estorsione di alto profilo in sette giorni.

      Grafana Labs, l'azienda di monitoraggio e visualizzazione open source, ha rivelato lunedì che gli hacker erano entrati nel suo ambiente di sviluppo, avevano esfiltrato una copia del suo codice sorgente e avevano chiesto un riscatto per impedire il rilascio del codice.

      L'azienda ha detto di no, e il codice sorgente, sul fatto più imbarazzante della storia, è già open source.

      La meccanica è la parte che conta. La stessa dichiarazione di Grafana su X ha confermato che gli attaccanti hanno ottenuto una credenziale di token rubato, che ha dato loro accesso all'ambiente GitHub dell'azienda, che Grafana utilizza per lo sviluppo del codice.

      Il token non ha, secondo l'azienda, fornito accesso ai registri dei clienti, ai sistemi dei clienti o ai dati finanziari. Il token è stato successivamente invalidato e ulteriori controlli di sicurezza sono stati aggiunti.

      The Hacker News riporta che la causa principale è stata un'azione GitHub recentemente abilitata contenente una misconfigurazione del 'Pwn Request', in cui un flusso di lavoro pull_request_target ha concesso ai collaboratori esterni accesso ai segreti di produzione CI, e che l'intrusione è stata rilevata da uno dei token canary distribuiti da Grafana, attivando un allerta interna.

      Gli attaccanti, identificati attraverso la copertura di Register e HelpNet come un gruppo di estorsione di dati che si fa chiamare CoinbaseCartel (attivo sulla scena del crimine informatico dal settembre 2025, monitorato da Halcyon e Fortinet FortiGuard), hanno inquadrato il ricatto come una scelta tra rilascio o pagamento.

      La risposta dell'azienda, con le proprie parole: ‘L'attaccante ha tentato di ricattarci, chiedendo un pagamento per impedire il rilascio del nostro codice sorgente.’

      Grafana ha citato il consiglio di lunga data dell'FBI secondo cui pagare riscatti non garantisce che tu o la tua organizzazione riavrete indietro alcun dato, ‘offre un incentivo per altri a coinvolgersi in questo tipo di attività illegale e, in ultima analisi, finanzia ulteriori attacchi.

      Ciò che conferisce al caso la sua consistenza è il confronto di sette giorni. Il gigante della tecnologia educativa Instructure, il cui piattaforma di gestione dell'apprendimento Canvas serve 275 milioni di utenti in oltre 8.800 istituzioni, ha raggiunto un accordo con gli hacker la settimana scorsa dopo essere stata violata due volte in settimane successive dal gruppo ShinyHunters.

      Instructure non ha divulgato pubblicamente l'importo pagato; stime non confermate dell'industria pongono la cifra intorno ai 10 milioni di dollari. Instructure ha detto di aver ricevuto ‘conferma digitale della distruzione dei dati (log di distruzione)’ e garanzie che i clienti non sarebbero stati successivamente estorti.

      La reazione dei professionisti della sicurezza è stata, nella versione educata, scettica riguardo a quelle garanzie.

      I due casi si trovano agli estremi opposti del manuale. Instructure ha pagato perché i dati rubati erano informazioni personali di studenti e personale che non potevano essere annullate una volta pubblicate.

      Grafana ha rifiutato perché il materiale rubato era codice che chiunque potesse già scaricare dai repository pubblici dell'azienda. La minaccia era, in questo senso, performativa.

      Gli attaccanti hanno comunque fatto la richiesta, assumendo che una certa percentuale di vittime paghi indipendentemente dal fatto che il potere sottostante esista.

      La lettura strutturale della scorsa settimana di incidenti è quella ricorrente. Il lato difensivo dell'industria del software aziendale si è ri-orientato attorno alla scoperta di vulnerabilità guidata dall'IA: il modello Mythos di Anthropic ha trovato migliaia di difetti zero-day attraverso i principali sistemi operativi e browser, e i regolatori delle banche centrali si sono mossi aggressivamente per monitorare cosa significano le stesse capacità all'interno del sistema finanziario, con l'azienda che ha informato il Financial Stability Board sui suoi risultati.

      La violazione di Grafana non è stata un attacco guidato dall'IA secondo le prove disponibili. È stata un'esploitazione di uso improprio del token contro un flusso di lavoro GitHub, il tipo di intrusione che è stata la violazione di dati modale negli ultimi sei anni. La meccanica non è cambiata. La logica di estorsione che le segue è ciò che si sta evolvendo.

      Grafana ha detto che la sua indagine è in corso e pubblicherà i suoi risultati una volta completata l'indagine.

      L'azienda non ha rivelato quali specifici repository sono stati esfiltrati, non ha nominato l'attore della minaccia nella propria dichiarazione. La lezione più ristretta è che le linee guida dell'FBI sul non pagamento vengono finalmente trattate come politica da parte delle aziende con modelli di business sufficientemente pubblici per assorbire l'ottica.

      Grafana ha il vantaggio insolito che il suo prodotto è open source per design. Se la posizione di non pagamento si estende alle aziende con proprietà intellettuale proprietaria, sarà il prossimo test che gli attori della minaccia metteranno in atto.