Grafana recusa pagar resgate após código-fonte ser baixado por grupo de extorsão

Grafana recusa pagar resgate após código-fonte ser baixado por grupo de extorsão

A Grafana Labs confirmou em 17 de maio que um terceiro não autorizado obteve um token com acesso ao ambiente corporativo do GitHub da empresa e baixou parte do código-fonte. Após a exfiltração, o atacante exigiu pagamento sob ameaça de publicar os repositórios e a Grafana recusou.

Em comunicado no X, a empresa afirmou que "nenhum dado de cliente ou informação pessoal foi acessado durante este incidente, e não encontramos evidência de impacto em sistemas ou operações de clientes". Para justificar a recusa, a Grafana citou orientação do FBI segundo a qual "não há garantia de que isso ajudará empresas afetadas a recuperar os dados" e que pagar "encoraja os criminosos a atacar mais vítimas".

A atribuição foi reivindicada pelo CoinbaseCartel, grupo de extorsão que surgiu em setembro de 2025 e vem aparecendo em registros das plataformas Hackmanac e Ransomware.live. O modus operandi não envolve criptografia ao estilo ransomware tradicional, mas roubo de dados seguido de chantagem.

O que está em jogo quando o código vaza

Repositórios privados raramente contêm joias da coroa em si: o valor de mercado da Grafana está no ecossistema, integrações e operação da nuvem, não em algoritmos secretos. Mas código-fonte exposto vira mapa para caça a vulnerabilidades, segredos esquecidos (chaves de API, tokens, credenciais de serviço) e fluxos de CI/CD vulneráveis a injeção de dependência. Times de segurança que dependem da Grafana para observabilidade precisam monitorar a divulgação de eventuais artefatos sensíveis e revisar credenciais compartilhadas em ambientes integrados.

A decisão pública de não pagar é parte de uma postura editorial cada vez mais visível no setor: cinco anos atrás, seria discreta; em 2026, vira comunicado oficial.