Un grupo extorsivo autodenominado Crimson Collective afirma haber robado casi
570 GB de datos comprimidos de 28.000 repositorios de desarrollo internos. La
compañía confirmó que se trató de una vulneración de una de sus instancias de
GitLab (no GiHub).
Red Hat confirmó que el incidente de seguridad se debió a una vulneración de
su instancia de GitLab, utilizada exclusivamente para Red Hat Consulting en
proyectos de consultoría.
Estos datos incluyen aproximadamente 800 Informes de Participación del Cliente
(CER), que pueden contener información confidencial sobre la red y las
plataformas de un cliente. Un CER es un documento de consultoría preparado
para clientes que a menudo contiene detalles de infraestructura, datos de
configuración, tokens de autenticación y otra información que podría
usarse indebidamente para violar las redes de los clientes.
El grupo delictivo publicó en Telegram un directorio completo de los
repositorios de GitLab presuntamente robados y una lista de los CER de 2020 a
2025. El directorio de CER incluye una amplia gama de sectores y
organizaciones reconocidas como Bank of America, T-Mobile, AT&T, Fidelity,
Kaiser, Mayo Clinic, Walmart, Costco, el Centro de Guerra Naval de Superficie
de la Armada de los EE. UU., la Administración Federal de Aviación, la Cámara
de Representantes y muchas otras.
Red Hat confirmó haber sufrido un incidente de seguridad relacionado con su
negocio de consultoría, pero no verificó ninguna de las afirmaciones del
atacante sobre el robo de repositorios de GitLab y CERs de clientes.
«Red Hat tiene conocimiento de los informes sobre un incidente de seguridad
relacionado con nuestro negocio de consultoría y hemos tomado las medidas
necesarias para remediarlo»,
declaró Red Hat. «La seguridad e integridad de nuestros sistemas y de los datos que nos han
sido confiados son nuestra máxima prioridad. En este momento, no tenemos
motivos para creer que el problema de seguridad afecte a ninguno de nuestros
otros servicios o productos Red Hat y confiamos plenamente en la integridad
de nuestra cadena de suministro de software».
Si bien Red Hat no respondió a más preguntas sobre la vulneración, los
atacantes informaron a BleepingComputer que la intrusión ocurrió hace
aproximadamente dos semanas. Supuestamente encontraron tokens de
autenticación, URL completas de bases de datos y otra información privada en
el código de Red Hat y los CER, que afirmaron utilizar para acceder a la
infraestructura de los clientes.
Los delincuentes declararon que intentaron contactar a Red Hat con una
solicitud de extorsión, pero no recibieron respuesta, salvo una respuesta
predefinida que les indicaba que enviaran un informe de vulnerabilidad a su
equipo de seguridad. Según ellos, el ticket creado se asignó repetidamente a
otras personas, incluyendo al personal legal y de seguridad de Red Hat.
El mismo grupo también se atribuyó la responsabilidad de
desfigurar brevemente la página de Nintendo
la semana pasada para incluir información de contacto y enlaces a su canal de
Telegram.
Por otra parte, GitLab informó que su plataforma y sus cuentas no se vieron
comprometidas, enfatizando que el incidente solo afectó a la instancia
autogestionada de GitLab Community Edition de Red Hat y que los clientes son
responsables de proteger estas instalaciones.
Fuente:
BC