Token Rubato, GitHub Violato: Grafana sotto ricatto, codebase scaricato e zero riscatto pagato

Grafana ha comunicato di aver subito un accesso non autorizzato al proprio ambiente GitHub a causa della compromissione di un token. Questo tipo di violazione, spesso sottovalutata, mostra quanto un singolo segreto esposto possa trasformarsi rapidamente in un incidente di sicurezza con impatti potenzialmente rilevanti sulla proprieta intellettuale.

Secondo quanto dichiarato, il token sottratto ha permesso a un soggetto esterno di accedere ai repository e scaricare il codebase.

Lazienda ha indicato che dalle verifiche non risultano accessi a dati dei clienti o a informazioni personali e non sono emerse evidenze di impatti sui sistemi o sulle operazioni dei clienti. Dopo la scoperta dellattivita anomala, e stata avviata unanalisi forense per ricostruire la dinamica dellattacco, individuare la fonte della perdita e contenere il rischio. Le credenziali compromesse sono state invalidate e sono state introdotte misure di sicurezza aggiuntive per ridurre la probabilita di nuovi accessi non autorizzati.

Un elemento centrale del caso riguarda il tentativo di estorsione. Lataccante avrebbe cercato di ricattare Grafana chiedendo un pagamento per evitare la pubblicazione del materiale sottratto. La societa ha scelto di non pagare, richiamando le indicazioni delle autorita statunitensi che sconsigliano la negoziazione con criminali informatici, anche perche non esiste alcuna garanzia di recupero o cancellazione dei dati una volta consegnato il denaro. Inoltre, pagare puo incentivare ulteriori attacchi e alimentare leconomia del cybercrime.

Non sono stati diffusi dettagli su quando sia avvenuta la compromissione o per quanto tempo il threat actor abbia mantenuto laccesso. In assenza di attribuzione ufficiale, alcune segnalazioni nel panorama threat intelligence indicano che un gruppo di estorsione dati noto come CoinbaseCartel avrebbe rivendicato lincidente. Questo gruppo viene descritto come orientato alla sola sottrazione di dati e alla pressione estorsiva, piu che alla cifratura tipica del ransomware, e risulterebbe collegato a ecosistemi criminali gia noti.

Il caso evidenzia limportanza di proteggere token e segreti in pipeline e repository, applicare rotazione e scadenze, limitare i privilegi, e monitorare accessi e download anomali su GitHub per intercettare rapidamente attività sospette.