Grafana Labs存取權杖外洩導致其GitHub程式碼庫遭竊與勒索

週日（5月17日）Grafana Labs在社群平臺X和LinkedIn發文，坦承近期發現有個未經授權的團體獲得該公司GitHub環境的存取權杖，使攻擊者得以下載該公司的程式碼庫，根據內部調查指出，這起事故期間並無客戶資料或個人資訊被存取，也查無影響客戶系統或營運的相關證據。

Grafana Labs即刻展開初步鑑識分析，目前已找出身分憑證外洩的源頭、停用遭外洩的憑證，並部署額外的資安措施，進一步保護他們的環境，以防止未經授權的存取。

至於攻擊者，Grafana Labs表示，公司遭到對方的勒索，要求支付贖金以阻止其程式碼庫被公開，對此，Grafana Labs依據自身實務營運經驗與美國聯邦調查局的建議，決定不支付贖金。

Grafana Labs預告，待調查工作完成後，將揭露更多關於事後檢討報告的資訊。

關於攻擊者身分，資安媒體The Hacker News引用Hackmanac與 Ransomware.live這兩個威脅情資平臺的警示，認為可能是勒索軟體組織CoinbaseCartel。