Grafana Labs資安事故調查結果出爐,起因是TanStack事故波及

來源: iThome|日期: 2026-05-21|URL: https://www.ithome.com.tw/news/176015

事件摘要

Grafana Labs 公布調查結果,確認 GitHub 儲存庫遭未授權存取事件,根源為 TanStack npm 供應鏈攻擊,因未完整輪換 token 而導致入侵。

事件時間軸

日期事件
5月11日偵測到惡意活動,啟動事件應變,迅速輪換大量 GitHub 工作流程權杖(但有遺漏)
5月16日收到勒索信,歹徒要求支付贖金
5月19日發布官方部落格說明調查結果

關鍵發現

  • 攻擊入口: TanStack 供應鏈攻擊 → 殘留未輪換的 GitHub token
  • 誤判: 原本認定未受影響的 GitHub 工作流程,實際已遭入侵
  • 擴大損失: 除原始碼外,還包含內部營運資訊與業務細節、聯絡窗口姓名與電子郵件

影響範圍

  • 僅影響 GitHub 環境
  • 未波及正式生產系統、Grafana Cloud 平臺
  • 資料非來自正式生產系統或 Grafana Cloud

Grafana Labs 立場

不會支付贖金——支付贖金不僅無法保證資料安全,還會助長網路犯罪。

教訓

  • 事件應變時的 token 輪換必須全面徹底,不能有遺漏
  • 供應鏈攻擊(如 TanStack)可透過間接方式波及下游組織

衍生頁面