En enda läckt nyckel öppnade dörren — Grafana vägrade böja sig för utpressarna
En läckt nyckel räckte — så hackarna tog sig in i Grafana.
En nyckel. Det räckte.
Det är en av de mer obehagliga sanningarna inom systemutveckling: hela säkerhetskedjan kan brytas av en enda exponerad åtkomstnyckel. Det fick Grafana erfara på ett mycket konkret sätt när företaget på söndagen bekräftade att man drabbats av ett dataintrång — två dagar efter att den kriminella gruppen Coinbase Cartel publicerade Grafana på sin läckasajt.
Enligt SecurityWeek fick angriparna tillgång till Grafanas utvecklingsmiljö på GitHub via just en komprometterad åtkomstnyckel. Väl inne lyckades de ladda ned källkoden för programvaran. Grafana betonar att varken personuppgifter eller kunddata stals, och att kunders system inte påverkats. Den aktuella nyckeln har spärrats och en rättsteknisk utredning pågår.
Men skadan är naturligtvis inte obefintlig bara för att inga slutanvändare drabbades direkt.
Utpressning utan kryptering
Coinbase Cartel använder sig inte av traditionell utpreskningsmjukvara som låser ned system och krypterar filer. I stället är deras metod renodlad datastöld kombinerad med utpressning: ta värdefull information, kräv betalning, hota med publicering. Det är en modell som på många sätt är svårare att försvara sig mot — det finns inget att dekryptera, inget att återställa. Antingen betalas lösensumman, eller så läcker materialet.
Grafana valde att inte betala. Det är ett modigt och principfast beslut, och troligtvis det rätta — att betala kriminella aktörer ger sällan några garantier och finansierar fortsatt brottslig verksamhet. Gruppen ska ha svarat med hot om att "orsaka mer skada än ni kan föreställa er", vilket mer liknar ett desperat påtryckningsförsök än en genomtänkt strategi.
Sedan september 2025 har Coinbase Cartel listat hela 105 offer på sin webbplats. Det är ett högt tempo och vittnar om att gruppen arbetar systematiskt och industriellt.
Kopplingar till välkända aktörer
Säkerhetsforskare har, enligt SecurityWeek, kopplat Coinbase Cartel till tre av de mer kända aktörerna inom cyberbrottslighet: ShinyHunters, Scattered Spider och Lapsus\$. Dessa grupper har uppges ha samarbetat sedan åtminstone mitten av 2025. Det är en oroande utveckling — när erfarna kriminella grupper slår ihop sina resurser, metoder och kontaktnät blir de svårare att motverka och mer effektiva i sina angrepp.
Lapsus\$ är kanske den mest välkända av dessa. Gruppen fick stor uppmärksamhet redan 2022 när de lyckades ta sig in hos bland annat Microsoft, Nvidia och Okta — ofta genom just social manipulation och stulna inloggningsuppgifter snarare än tekniskt avancerade angreppsvektorer.
Källkod som måltavla
Att stjäla källkod är inte trivialt ur ett skadeskalningsperspektiv. För ett verktyg som Grafana — som används brett i infrastrukturbevakning, driftsövervakning och datavisualisering inom allt från teknikbolag till hälso- och sjukvård — finns ett potentiellt värde i att analysera koden för att hitta sårbarheter som sedan kan utnyttjas mot Grafanas användare. Det är ett scenario som Grafana och deras säkerhetsteam nu behöver ta på fullaste allvar.
Grafana är dessutom öppen källkod till stor del, vilket gör att en del av koden redan är offentlig — men det betyder inte att all intern kod är publik, och det är rimligt att anta att det finns komponenter som inte är tänkta att vara tillgängliga utanför företaget.
Vad kan vi lära oss?
Fallet är en tydlig påminnelse om att åtkomstnycklar — API-nycklar, personliga åtkomsttokens, tjänstekonton — är högprioriterade mål för angripare. De är ofta lättare att komma åt än man tror: de läcker via felkonfigurerade arkiv, loggar, interna verktyg eller komprometterade utvecklarmaskiner.
Bästa praxis är välkänd men underimplementerad: rotera nycklar regelbundet, begränsa behörigheter efter minsta-privilegiums-principen, övervaka nyckelanvändning aktivt och ha rutiner för snabb spärrning. Det låter enkelt — och det är tekniskt sett inte särskilt komplicerat — men det kräver disciplin och prioritering i vardagen.
Grafana lovar att återkomma med ytterligare detaljer när utredningen är klar. Det ska bli intressant att följa.
Vår analys
Det som gör det här fallet särskilt lärorikt är att det inte handlar om ett sofistikerat tekniskt angrepp — det handlar om en komprometterad åtkomstnyckel. Det är den typen av intrång som ofta går att förebygga med rätt rutiner och verktyg.
Jag ser en tydlig trend: kriminella grupper som Coinbase Cartel väljer bort teknisk komplexitet till förmån för enkel men effektiv datastöld kombinerad med utpressning. Det är lägre tröskel, lägre risk och hög utdelning. Att de dessutom sammansluter sig med etablerade aktörer som Scattered Spider och Lapsus\$ tyder på en mognad och professionalisering av den kriminella ekosystemet som vi inte kan ignorera.
För oss som bygger och förvaltar system är lärdomen tydlig: hantering av åtkomstnycklar och hemligheter måste behandlas som en förstaklassens säkerhetsfråga — inte en eftertanke. Verktyg för automatisk sökning efter exponerade nycklar i kodarkiv finns och fungerar. Använd dem.