Grafana Labs資安事故調查結果出爐,起因是TanStack事故波及
來源: iThome|日期: 2026-05-21|URL: https://www.ithome.com.tw/news/176015
事件摘要
Grafana Labs 公布調查結果,確認 GitHub 儲存庫遭未授權存取事件,根源為 TanStack npm 供應鏈攻擊,因未完整輪換 token 而導致入侵。
事件時間軸
| 日期 | 事件 |
|---|---|
| 5月11日 | 偵測到惡意活動,啟動事件應變,迅速輪換大量 GitHub 工作流程權杖(但有遺漏) |
| 5月16日 | 收到勒索信,歹徒要求支付贖金 |
| 5月19日 | 發布官方部落格說明調查結果 |
關鍵發現
- 攻擊入口: TanStack 供應鏈攻擊 → 殘留未輪換的 GitHub token
- 誤判: 原本認定未受影響的 GitHub 工作流程,實際已遭入侵
- 擴大損失: 除原始碼外,還包含內部營運資訊與業務細節、聯絡窗口姓名與電子郵件
影響範圍
- 僅影響 GitHub 環境
- 未波及正式生產系統、Grafana Cloud 平臺
- 資料非來自正式生產系統或 Grafana Cloud
Grafana Labs 立場
不會支付贖金——支付贖金不僅無法保證資料安全,還會助長網路犯罪。
教訓
- 事件應變時的 token 輪換必須全面徹底,不能有遺漏
- 供應鏈攻擊(如 TanStack)可透過間接方式波及下游組織
衍生頁面
- Grafana Labs GitHub存取權杖外洩勒索事件 — 事件主要概念頁面(已更新調查結果)
- grafana-labs — Grafana Labs 公司實體
- software-supply-chain-attack — 供應鏈攻擊概念(TanStack 波及路徑)