Grafana bekræfter brud: kildekode hentet efter kompromitteret GitHub‑token

Eskil Sørensen
05.18.2026 12:25
Cyberkriminel gruppe truer med læk, men virksomheden afviser krav om løsesum

Grafana har bekræftet, at virksomheden er blevet ramt af et sikkerhedsbrud, efter at en cyberkriminel gruppe offentliggjorde Grafana på sit læk‑site i sidste uge. Ifølge Grafana skyldes hændelsen et kompromitteret token, som gav uautoriseret adgang til Grafana Labs’ GitHub‑miljø.

Det skriver Security Week.

Virksomheden oplyser, at angriberne har downloadet Grafanas kildekode, men understreger samtidig, at der ikke er stjålet kunde‑ eller persondata, og at hændelsen ikke har påvirket kunders systemer eller drift. Grafana har valgt ikke at betale løsesum, selv om angriberne har fremsat et krav for at undgå offentliggørelse af materialet.

De kompromitterede legitimationsoplysninger er nulstillet, og Grafana har igangsat en forensisk undersøgelse. Virksomheden har meldt ud, at yderligere detaljer vil blive delt, når undersøgelsen er afsluttet.

Optræder på læk‑site

Grafana blev den 15. maj opført på læk‑sitet tilhørende den cyberkriminelle gruppe Coinbase Cartel, men der er på nuværende tidspunkt ikke offentliggjort data fra bruddet. Gruppen ledsagede noteringen med en trussel om yderligere skade.

Coinbase Cartel har været aktiv siden september 2025 og adskiller sig fra klassisk ransomware ved ikke at kryptere filer. I stedet fokuserer gruppen på datatyveri og afpresning. Ifølge åbne kilder har gruppen i øjeblikket over 100 organisationer listet som ofre.

Kendte forbindelser

Sikkerhedsfirmaer vurderer, at Coinbase Cartel har forbindelser til kendte grupper som ShinyHunters, Scattered Spider og Lapsus$, som i perioder har samarbejdet og stået bag en række højtprofilerede databrud. Under ShinyHunters‑navnet er der tidligere taget ansvar for angreb mod blandt andet Instructure, Vimeo, Wynn Resorts, Vercel og Medtronic.

Grafana‑hændelsen føjer sig dermed til en række sager, hvor udviklings‑ og versionsstyringsmiljøer er blevet attraktive mål for angribere. Adgang til kildekode kan give værdifuld indsigt i interne mekanismer, selv i tilfælde hvor der ikke er tale om direkte kompromittering af produktionssystemer.

Grafana har ikke oplyst, hvor længe angriberne havde adgang, eller hvordan tokenet oprindeligt blev kompromitteret.

Læs mere

Sikkerhedshændelse