Grafana Labs sofre acesso indevido ao GitHub e recusa pagar resgate; Coinbase Cartel ameaça vazar codebase

A Grafana Labs confirmou neste domingo que invasores obtiveram acesso ao ambiente GitHub da empresa e exfiltraram parte de seu codebase. Os criminosos ameaçam vazar o código se a empresa não pagar resgate – exigência que a fabricante da popular plataforma de observabilidade afirma que não atenderá. O ataque é reivindicado pelo grupo de extorsão Coinbase Cartel, conhecido por publicar código-fonte de empresas de tecnologia em data leak sites.

O que aconteceu

A Grafana Labs, fabricante da plataforma de dashboards e visualização amplamente utilizada por equipes de engenharia e DevOps no mundo todo, divulgou que um ator de ameaça acessou seu ambiente GitHub e baixou partes do código-fonte da empresa. Embora a maior parte do software seja open source, há componentes proprietários no portfólio – como recursos exclusivos do Grafana Enterprise e integrações específicas do Grafana Cloud – que estavam armazenados nesses repositórios.

Segundo a empresa, a investigação até agora indica que nenhum dado de cliente nem informação pessoal foi acessada. Não há, no momento, evidência de impacto em sistemas ou operações dos clientes. A Grafana Labs também declarou ter identificado a origem do vazamento de credenciais, invalidado os acessos comprometidos e adotado medidas adicionais de segurança no ambiente.

O incidente é especialmente sensível pelo perfil dos usuários da Grafana. O produto está presente em pilhas de observabilidade de praticamente todos os setores – de bancos a hyperscalers – e suas integrações tocam fontes de dados como Prometheus, Loki, Tempo, Pyroscope e clouds públicas, formando um mapa rico de telemetria operacional.

Como o ataque ocorreu

A Grafana Labs aponta credenciais expostas como vetor inicial. Embora ainda não tenha detalhado se as credenciais pertenciam a um desenvolvedor, a um pipeline de CI/CD ou a um sistema integrado, o resultado é o mesmo: acesso autenticado ao GitHub corporativo permitiu a clonagem de repositórios proprietários antes da detecção. Esse padrão segue uma cartilha cada vez mais comum em incidentes envolvendo plataformas de hospedagem de código.

Iniciamos imediatamente uma análise forense e acreditamos ter identificado a origem do vazamento de credenciais. Já invalidamos as credenciais comprometidas e implementamos medidas adicionais de segurança para proteger o ambiente.

Comunicado oficial da Grafana Labs

O grupo Coinbase Cartel – que reivindica a autoria – atua principalmente com extorsão a empresas de tecnologia, sem componente de ransomware tradicional (criptografia). O modelo é mais simples: rouba-se código ou dados, cobra-se pagamento sob ameaça de publicação. A Grafana Labs cita, em sua resposta, a posição do FBI: pagar resgate não garante a devolução dos dados e ainda alimenta a economia do cibercrime.

Riscos para o ecossistema

• Exposição de código proprietário do Grafana Enterprise e de integrações comerciais, com potencial revelação de implementações de licenciamento e features pagas.
• Possível identificação de vulnerabilidades inéditas no código baixado, que podem ser exploradas em ambientes Grafana on-prem antes de eventual divulgação responsável.
• Risco residual para clientes do Grafana Cloud caso segredos, tokens de integração ou chaves embutidas tenham vazado junto com o código – cenário comum em vazamentos de codebase.
• Exposição de informações estruturais sobre clientes corporativos: arquiteturas referenciais, configurações de exemplo e integrações específicas que normalmente não saem do repositório interno.
• Risco reputacional para a Grafana Labs, que precisa equilibrar transparência com a proteção de detalhes técnicos sensíveis.

Análise

O caso Grafana se encaixa em uma sequência crescente de incidentes envolvendo ambientes GitHub corporativos. Empresas de tecnologia como Okta, LastPass, Dropbox, Microsoft e CircleCI já passaram por episódios semelhantes nos últimos anos, todos partindo de credenciais comprometidas ou de sessões persistentes em estações de desenvolvedores. O denominador comum é claro: a segurança de identidades e tokens em pipelines modernos continua sendo o elo mais frágil.

A escolha estratégica do Coinbase Cartel também merece atenção. Atacar empresas de infraestrutura e observabilidade gera material de extorsão útil por dois caminhos: o próprio código vale algum prejuízo reputacional e técnico, e a publicação eventual pode revelar segredos embutidos – tokens de API, chaves de assinatura, integrações privadas – que reverberam em centenas de clientes. É o mesmo princípio observado em incidentes anteriores envolvendo empresas de software amplamente integradas em ambientes corporativos.

A decisão da Grafana Labs de não pagar é coerente com a melhor prática recomendada por agências como o FBI, a NCSC e a CISA. Pagar resgate não interrompe a publicação – há registros documentados de grupos que receberam pagamento e ainda assim vazaram os dados – e funciona como financiamento direto para futuras operações. Por outro lado, a recusa pública aumenta a pressão sobre o grupo, que tende a publicar o código para preservar reputação no submundo do cibercrime.

Recomendações práticas

• Para clientes Grafana on-prem: monitorar de perto comunicações da empresa nos próximos dias e aplicar patches assim que liberados, especialmente se a Grafana Labs reconhecer impacto em componentes proprietários.
• Revisar tokens de API, chaves de service account e webhooks utilizados em integrações Grafana, especialmente os armazenados em repositórios privados próprios.
• Adotar pull-request scanning e secret scanning automatizado em todos os repositórios corporativos para impedir que credenciais cheguem ao GitHub – tema agora padrão tanto na versão paga quanto na versão gratuita do GitHub Advanced Security.
• Implementar acesso à organização do GitHub via SSO obrigatório, com tokens de curto prazo, MFA resistente a phishing (FIDO2) e revisão periódica de OAuth apps autorizados.
• Exigir uso de tokens de granularidade fina (fine-grained personal access tokens) em vez de tokens clássicos, com escopos mínimos e expiração curta.
• Auditar logs de auditoria do GitHub Enterprise (audit log streaming) em busca de clonagens em massa, downloads incomuns e mudanças de visibilidade em repositórios.
• Treinar desenvolvedores para reportar imediatamente possíveis comprometimentos de estação – laptops infectados continuam sendo a porta de entrada favorita para acessos a SaaS de desenvolvimento.

Fonte: Help Net Security