HackerangriffeCyberkriminalitätDatenschutz

Grafana-Sicherheitsleck: Unbefugte erbeuten Quellcode und versuchen Erpressung

Von CyberDeutsch Redaktion
Grafana-Sicherheitsleck: Unbefugte erbeuten Quellcode und versuchen Erpressung
Zusammenfassung

Grafana, ein führender Anbieter von Observability- und Monitoring-Lösungen, ist Opfer eines Datenbreach geworden. Ein unbekannter Angreifer verschaffte sich unberechtigt Zugang zu einem GitHub-Token des Unternehmens und konnte dadurch den vollständigen Quellcode herunterladen. Wie Grafana mitteilte, waren keine Kundendaten oder persönlichen Informationen des Unternehmens betroffen, und es gibt keine Hinweise auf Auswirkungen auf Kundensysteme. Der Angreifer versuchte anschließend, Grafana durch Erpressung zu zwingen, Lösegeld zu zahlen, um die gestohlenen Daten nicht zu veröffentlichen. Das Unternehmen lehnte ab und folgte damit der Empfehlung des FBI. Der Cyberangriff wird der Gruppe CoinbaseCartel zugeordnet, einem Datenerpressungs-Kollektiv, das sich auf Datendiebstahl spezialisiert. Für deutsche Nutzer, Unternehmen und Behörden, die Grafana-Lösungen einsetzen, ist das Incident bemerkenswert, da es zeigt, wie auch etablierte Tech-Unternehmen Sicherheitslücken aufweisen können. Dies unterstreicht die Notwendigkeit umfassender Sicherheitsmaßnahmen und regelmäßiger Updates sowie die Bedeutung von Incident-Response-Plänen in Organisationen.

Grafana hat in mehreren Mitteilungen auf der Plattform X (Twitter) über einen schwerwiegenden Sicherheitsvorfall berichtet. Ein unbefugter Dritter erhielt Zugriff auf ein GitHub-Token des Unternehmens, das Authentifizierung für die unternehmenseigene Code-Repositories gewährte. Der Angreifer nutzte diesen Zugriff, um das Codebase-Repository herunterzuladen.

Das Unternehmen versichert jedoch, dass keine Kundendaten oder persönliche Informationen während des Vorfalls abgegriffen wurden. Forensische Analysen hätten keinerlei Auswirkungen auf Kundensysteme oder deren Betrieb enthüllt. Unmittelbar nach Entdeckung der verdächtigen Aktivitäten startete Grafana eine umfassende forensische Untersuchung, identifizierte die Quelle der Kompromittierung und deaktivierte die betroffenen Anmeldedaten. Zusätzliche Sicherheitsmaßnahmen wurden implementiert.

Doch damit nicht genug: Die Angreifer versuchten, Grafana durch Erpressung zu Zahlungen zu zwingen. Sie behaupteten, die gestohlene Datenbank zu besitzen und drohten mit deren Veröffentlichung – ein klassisches Extortions-Szenario. Grafana lehnte entschieden ab und berief sich auf die Position des FBI, das generell davon abrät, Ransomware-Forderungen nachzugeben, da es keine Garantie für die Rückgabe von Daten gibt.

Berichten zufolge wird die cyberkriminelle Gruppe CoinbaseCartel hinter dem Anschlag vermutet. Diese 2025 gegründete Crew ist nach Einschätzung von Cybersecurity-Experten ein Ableger bekannter Ökosysteme wie ShinyHunters, Scattered Spider und LAPSUS$. CoinbaseCartel spezialisiert sich auf reine Datendiebstahl und Erpressung – nicht auf klassische Ransomware. Die Gruppe hat bereits etwa 170 Opfer im Gesundheitswesen, der Technologiebranche, im Transportsektor und bei Fertigungsbetrieben gehackt.

Grafana gab nicht preis, welche spezifischen Code-Komponenten gestohlen wurden. Das Unternehmen bietet eine breite Palette von Produkten an, darunter Grafana Cloud – eine vollständig verwaltete Cloud-Plattform zur Observability für Anwendungen und Infrastrukturen. Für deutsche Unternehmen und Behörden, die Grafana-Tools einsetzen, bleibt die genaue Natur des gestohlenen Codes relevant für die Bewertung eigener Sicherheitsrisiken. Der Vorfall wird die Diskussion um Supply-Chain-Sicherheit und die Risiken durch spezialisierte Erpressungs-Crews weiter anheizen.

Ähnliche Artikel