Grafana lehnt Lösegeldzahlung ab, nachdem Quellcode von Erpressungsgruppe heruntergeladen wurde
Grafana Labs bestätigte am 17. Mai, dass ein Dritter ein Token für den Zugriff auf das Unternehmens-GitHub der Firma erhalten und Teile des Quellcodes heruntergeladen hat. Das Unternehmen lehnte die Lösegeldforderung der Gruppe CoinbaseCartel ab und berief sich auf eine Empfehlung des FBI, um seine Position zu rechtfertigen.
Grafana lehnt Lösegeldzahlung ab, nachdem Quellcode von Erpressungsgruppe heruntergeladen wurde
Grafana Labs bestätigte am 17. Mai, dass ein unbefugter Dritter ein Token mit Zugriff auf die Unternehmensumgebung des GitHub der Firma erhalten und Teile des Quellcodes heruntergeladen hat. Nach der Exfiltration forderte der Angreifer eine Zahlung unter Androhung der Veröffentlichung der Repositories, und Grafana lehnte dies ab.
In einer Mitteilung auf X erklärte das Unternehmen, dass "weder Kundendaten noch persönliche Informationen während dieses Vorfalls abgerufen wurden, und wir keine Hinweise auf Auswirkungen auf Systeme oder Betriebe von Kunden gefunden haben." Um die Ablehnung zu rechtfertigen, nannte Grafana eine Empfehlung des FBI, wonach "es keine Garantie dafür gibt, dass dies betroffenen Unternehmen hilft, ihre Daten wiederherzustellen" und dass eine Zahlung "Verbrecher ermutigt, weitere Opfer anzugreifen".
Die Zuschreibung wurde von der Gruppe CoinbaseCartel beansprucht, einer Erpressungsgruppe, die im September 2025 aufgetaucht ist und in den Registern der Plattformen Hackmanac und Ransomware.live erscheint. Der modus operandi beinhaltet nicht die traditionelle Ransomware-Verschlüsselung, sondern den Datendiebstahl gefolgt von Erpressung.
Was auf dem Spiel steht, wenn der Code geleakt wird
Private Repositories enthalten selten die Kronjuwelen selbst: Der Marktwert von Grafana liegt im Ökosystem, in Integrationen und im Betrieb der Cloud, nicht in geheimen Algorithmen. Doch der enthüllte Quellcode wird zu einer Landkarte für die Suche nach Schwachstellen, vergessenen Geheimnissen (API-Schlüssel, Tokens, Service-Anmeldeinformationen) und CI/CD-Flows, die anfällig für Abhängigkeitsinjektion sind. Sicherheitsteams, die auf Grafana für die Beobachtbarkeit angewiesen sind, müssen die Offenlegung potenzieller sensibler Artefakte überwachen und gemeinsam genutzte Anmeldeinformationen in integrierten Umgebungen überprüfen.
Die öffentliche Entscheidung, nicht zu zahlen, ist Teil einer zunehmend sichtbaren redaktionellen Haltung in der Branche: Vor fünf Jahren wäre dies diskret geblieben; 2026 wird es zu einer offiziellen Mitteilung.