Kebocoran token GitHub Grafana memicu pengunduhan codebase dan upaya pemerasan uang

> Grafana mengalami serangan pengunduhan source code dan pemerasan data akibat kebocoran token GitHub, tetapi menolak membayar tebusan sesuai panduan FBI.

Terjemahan lengkap

Grafana menyatakan bahwa "pihak yang tidak terautentikasi" memperoleh token yang memungkinkan akses ke lingkungan GitHub perusahaan dan dapat mengunduh source code.

Melalui serangkaian unggahan di X (sebelumnya Twitter), Grafana mengatakan, "Investigasi internal kami memastikan bahwa selama insiden ini tidak ada akses ke data pelanggan atau informasi pribadi, dan kami juga tidak menemukan bukti adanya dampak terhadap sistem atau operasi pelanggan."

Perusahaan juga menyatakan bahwa segera setelah aktivitas tersebut terdeteksi, mereka memulai analisis forensik dan berhasil mengidentifikasi sumber kebocoran. Selain itu, kredensial yang terdampak kemudian telah dinonaktifkan, dan langkah-langkah keamanan tambahan diterapkan untuk mencegah akses tanpa izin.

Lebih lanjut, Grafana menyatakan bahwa penyerang mencoba mem-blackmail dan mengancam perusahaan, serta menuntut pembayaran jika ingin mencegah database yang dicuri dipublikasikan.

Grafana memutuskan untuk tidak membayar ransomware tersebut dengan mengutip panduan dari Federal Bureau of Investigation (FBI) Amerika Serikat. FBI sebelumnya telah memperingatkan bahwa negosiasi ransomware dengan pelaku kriminal tidak menjamin perusahaan korban bisa mendapatkan kembali datanya.

Di situs webnya, FBI menyatakan, "Ini juga mendorong para pelaku kriminal untuk menargetkan lebih banyak korban dan memberi insentif kepada pihak lain untuk terlibat dalam aktivitas ilegal semacam ini."

Grafana tidak mengungkap kapan insiden ini terjadi atau sejak kapan pelaku ancaman memiliki akses ke lingkungannya, dan hanya mengatakan bahwa mereka baru mengetahui serangan itu "baru-baru ini". Insiden pelanggaran ini juga belum diatribusikan kepada pelaku ancaman atau kelompok tertentu yang telah dikenal.

Namun, menurut laporan dari Hackmanac dan Ransomware.live, kelompok kejahatan siber bernama CoinbaseCartel telah mengklaim bertanggung jawab atas insiden ini.

Menurut detail yang dibagikan Halcyon dan Fortinet FortiGuard Labs, CoinbaseCartel adalah organisasi pemerasan data yang muncul pada September 2025. Mereka dinilai sebagai kelompok turunan dari ekosistem ShinyHunters, Scattered Spider, dan LAPSUS$.

Berbeda dari kelompok ransomware tradisional, kelompok ini hanya berfokus pada pencurian data dan pemerasan, dan telah menghasilkan 170 korban di sektor layanan kesehatan, teknologi, transportasi, manufaktur, dan layanan bisnis.

Perusahaan juga tidak mengungkap source code mana yang diunduh penyerang, tetapi Grafana menyediakan berbagai solusi seperti Grafana Cloud, platform observability cloud hosting terkelola penuh untuk aplikasi dan infrastruktur. The Hacker News telah meminta komentar kepada Grafana dan akan memperbarui laporannya setelah menerima tanggapan.

Insiden ini terjadi hanya beberapa hari setelah perusahaan teknologi pendidikan AS, Instructure, mengambil keputusan kontroversial untuk mencapai kesepakatan dengan kelompok pemeras ShinyHunters setelah mereka mengancam akan membocorkan data hingga beberapa terabyte milik ribuan sekolah dan universitas di seluruh Amerika Serikat.