Nach Darstellung von Grafana führte das Unternehmen nach der Entdeckung eine Analyse durch und rotierte rasch eine erhebliche Zahl von GitHub-Workflow-Token. „Ein übersehenes Token führte dazu, dass die Angreifer Zugang zu unseren GitHub-Repositories erhielten“, heißt es in der Aktualisierung des Unternehmens. Eine anschließende Überprüfung habe bestätigt, dass ein bestimmter GitHub-Workflow, den man ursprünglich als nicht betroffen eingestuft hatte, tatsächlich kompromittiert worden war.
Bereits zuvor hatte Grafana eingeräumt, dass die Eindringlinge Quellcode gestohlen hatten. Gleichzeitig betonte das Unternehmen, dass keine Kunden betroffen seien, und stellte klar, dass die Hacker kein Lösegeld erhalten würden.
Die weitere Untersuchung ergab, dass der Angreifer zusätzlich betriebliche Informationen und Geschäftsdaten herunterlud, die Grafana für seinen Geschäftsbetrieb nutzt. Dabei handele es sich laut Grafana um „geschäftliche Kontaktnamen und E-Mail-Adressen, wie sie im Rahmen einer beruflichen Beziehung ausgetauscht werden“ – also nicht um Daten, die aus Produktivsystemen oder der Grafana-Cloud-Plattform stammten oder dort verarbeitet würden.
Das Unternehmen hob hervor, dass es sich nicht um produktive Kundendaten handle. Nach derzeitigem Stand der Beweise und der Untersuchung seien keine produktiven Kundensysteme oder -abläufe kompromittiert worden.
Grafana Labs wies zudem darauf hin, dass die Codebasis während des Vorfalls nicht verändert wurde. Der Code, den Nutzer im Verlauf der Ereignisse heruntergeladen haben, gelte daher als unbedenklich; Anwender müssten nichts unternehmen. Sollte sich diese Einschätzung aufgrund neuer Erkenntnisse aus der laufenden Untersuchung ändern, werde Grafana Labs betroffene Kunden direkt informieren.
