Grafana Labs confirmó que atacantes accedieron a su entorno GitHub mediante un token comprometido y descargaron parte de su código fuente. La empresa aseguró que no hubo exposición de datos de clientes ni impacto sobre sistemas operativos, y rechazó pagar el rescate exigido por los atacantes de CoinbaseCartel
La empresa de análisis de datos Grafana Labs, responsable de la plataforma de visualización y monitoreo Grafana, confirmó una brecha de seguridad que permitió que atacantes accedieran a su entorno GitHub y descargar su código fuente. El incidente fue atribuido públicamente al grupo CoinbaseCartel, una operación de extorsión enfocada en robo de datos que durante los últimos meses ha publicado decenas de víctimas en su portal de filtraciones.
La compañía informó que el acceso se produjo mediante un token comprometido asociado a su entorno GitHub. En una declaración pública publicada el 16 de mayo en su cuenta de X, Grafana señaló que “recientemente descubrimos que una persona no autorizada obtuvo un token con acceso al entorno de GitHub de Grafana Labs, lo que le permitió descargar nuestro código fuente”.
Grafana indicó que, tras detectar la actividad, inició un análisis forense para identificar el origen de la filtración de credenciales y contener el incidente. La empresa aseguró que las credenciales comprometidas fueron invalidadas y que se implementaron medidas adicionales de seguridad para proteger sus sistemas frente a accesos no autorizados futuros. También sostuvo que no encontró evidencia de exposición de datos de clientes o afectación operativa. Específicamente señaló que “nuestra investigación ha determinado que no se accedió a datos de clientes ni a información personal durante este incidente, y no hemos encontrado evidencia de impacto en los sistemas u operaciones de los clientes”.
El incidente se conoció públicamente después de que CoinbaseCartel agregara a Grafana en su sitio de filtraciones el viernes 15 de mayo. Diversos reportes indicaron que el grupo intentó extorsionar a la compañía para evitar la publicación del código fuente descargado. Grafana confirmó la existencia de la demanda económica, pero decidió no realizar pagos, citando recomendaciones históricas del FBI sobre negociaciones con ciberdelincuentes.
La empresa señaló que “determinado que la mejor opción es no pagar el rescate. Como parte de las prácticas de seguridad estándar de Grafana Labs, compartiremos información adicional de nuestra revisión posterior al incidente una vez que concluyan nuestras investigaciones”. La declaración hizo referencia a la postura pública del FBI, organismo que sostiene que pagar rescates no garantiza la recuperación de datos y puede incentivar nuevas actividades criminales.
Los reportes sobre CoinbaseCartel indican que el grupo comenzó sus operaciones durante 2025 y mantiene vínculos atribuidos por investigadores con ecosistemas asociados a ShinyHunters, Scattered Spider y LAPSUS$. Según análisis citados por medios especializados, la organización se enfoca principalmente en robo de información y extorsión, utilizando credenciales comprometidas, phishing e ingeniería social para acceder a redes corporativas.