Un grupo extorsivo autodenominado Crimson Collective afirma haber robado casi 570 GB de datos comprimidos de 28.000 repositorios de desarrollo internos. La compañía confirmó que se trató de una vulneración de una de sus instancias de GitLab (no GiHub).
Red Hat confirmó que el incidente de seguridad se debió a una vulneración de su instancia de GitLab, utilizada exclusivamente para Red Hat Consulting en proyectos de consultoría.
Estos datos incluyen aproximadamente 800 Informes de Participación del Cliente (CER), que pueden contener información confidencial sobre la red y las plataformas de un cliente. Un CER es un documento de consultoría preparado para clientes que a menudo contiene detalles de infraestructura, datos de configuración, tokens de autenticación y otra información que podría usarse indebidamente para violar las redes de los clientes.
El grupo delictivo publicó en Telegram un directorio completo de los repositorios de GitLab presuntamente robados y una lista de los CER de 2020 a 2025. El directorio de CER incluye una amplia gama de sectores y organizaciones reconocidas como Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, el Centro de Guerra Naval de Superficie de la Armada de los EE. UU., la Administración Federal de Aviación, la Cámara de Representantes y muchas otras.
Red Hat confirmó haber sufrido un incidente de seguridad relacionado con su negocio de consultoría, pero no verificó ninguna de las afirmaciones del atacante sobre el robo de repositorios de GitLab y CERs de clientes.
«Red Hat tiene conocimiento de los informes sobre un incidente de seguridad relacionado con nuestro negocio de consultoría y hemos tomado las medidas necesarias para remediarlo», declaró Red Hat. «La seguridad e integridad de nuestros sistemas y de los datos que nos han sido confiados son nuestra máxima prioridad. En este momento, no tenemos motivos para creer que el problema de seguridad afecte a ninguno de nuestros otros servicios o productos Red Hat y confiamos plenamente en la integridad de nuestra cadena de suministro de software».
Si bien Red Hat no respondió a más preguntas sobre la vulneración, los atacantes informaron a BleepingComputer que la intrusión ocurrió hace aproximadamente dos semanas. Supuestamente encontraron tokens de autenticación, URL completas de bases de datos y otra información privada en el código de Red Hat y los CER, que afirmaron utilizar para acceder a la infraestructura de los clientes.
Los delincuentes declararon que intentaron contactar a Red Hat con una solicitud de extorsión, pero no recibieron respuesta, salvo una respuesta predefinida que les indicaba que enviaran un informe de vulnerabilidad a su equipo de seguridad. Según ellos, el ticket creado se asignó repetidamente a otras personas, incluyendo al personal legal y de seguridad de Red Hat.
El mismo grupo también se atribuyó la responsabilidad de desfigurar brevemente la página de Nintendo la semana pasada para incluir información de contacto y enlaces a su canal de Telegram.
Por otra parte, GitLab informó que su plataforma y sus cuentas no se vieron comprometidas, enfatizando que el incidente solo afectó a la instancia autogestionada de GitLab Community Edition de Red Hat y que los clientes son responsables de proteger estas instalaciones.
Fuente y redacción: segu-info.com.ar