A Red Hat hivatalosan is elismerte, hogy biztonsági incidens történt: egy GitLab példánya jogosulatlan hozzáférést szenvedett el.
A támadók állítása szerint mintegy 570 GB tömörített adat került ki, összesen 28 000 belső fejlesztési tárolóval (repository),
valamint körülbelül 800 Customer Engagement Report (CER) dokumentummal.
(Forrás: BleepingComputer)
Mi történt pontosan?
Egy „Crimson Collective” nevű zsaroló csoport azt állítja, hogy hozzáférést szerzett a Red Hat GitLab rendszeréhez, és érzékeny adatokat lopott el,
beleértve hitelesítő tokeneket, konfigurációs adatokat és belső dokumentumokat is.
Red Hat később pontosította, hogy nem GitHub volt érintett, hanem egy önálló, saját üzemeltetésű GitLab példány,
amit a Red Hat Consulting részlege használt belső együttműködéshez.
A cég közölte, hogy az incidens során jogosulatlan fél hozzáférést kapott a rendszerhez, adatokat másolt,
majd a hozzáférést megszüntették, az érintett összetevőt izolálták, és értesítették a hatóságokat is.
(Forrás: Red Hat hivatalos blog)
Mit tartalmaztak az adatok?
A kompromittált GitLab rendszer olyan adatokat tartalmazott, amelyek tanácsadási projektekhez kapcsolódnak: projekt specifikációk, példakódok, belső kommunikációk.
Red Hat hangsúlyozta, hogy nincs bizonyíték arra, hogy személyes adatok vagy magánjellegű információk szivárogtak volna ki.
Az érintett rendszer jellemzően nem tárol ilyen jellegű adatokat.
A támadók ugyanakkor azt állítják, hogy az adatok között találtak hitelesítő tokeneket, adatbázis URI-kat és belső konfigurációs információkat is,
amelyekkel állításuk szerint tovább tudtak hatolni ügyfelek infrastruktúrájába.
Cégreakció és hatókör
- A Red Hat szerint az érintett GitLab példány kizárólag a tanácsadói részleg számára volt használva.
- A vállalat elemzi az esetet, és azokkal az ügyfelekkel lép kapcsolatba, akiket érinthet az adatvesztés.
- Hangsúlyozták, hogy jelenleg nincs ok azt feltételezni, hogy a probléma más szolgáltatásaikat vagy a szoftverszállítási láncot érinti.
- A GitLab közölte: a saját felhőszolgáltatásuk érintetlen, a sérülés Red Hat saját üzemeltetésű rendszerében történt.
A nemzetközi sajtó nézőpontjai és aggályok
A szakmai sajtó (Dark Reading, CyberScoop) szerint a sérült adatok valószínűleg tartalmazhatnak olyan konfigurációs elemeket és tanúsítványokat,
amelyek érzékenyek lehetnek. Ez fokozott kockázatot jelent az érintett ügyfeleknek, különösen, ha a kompromittált adatok további támadásokhoz használhatók fel.
A közösség reakciói
A Hacker News és a Reddit hozzászólásai vegyesek voltak:
- Többen kifogásolták, hogy az első beszámolók tévesen GitHub-ot említettek GitLab helyett.
- Néhány hozzászóló szerint a Red Hat válasza lassú és túl formális volt, a támadók megkereséseire nem reagáltak megfelelően.
- Mások humorosan jegyezték meg, hogy a támadók állítólag egy sablonüzenetet kaptak, amely a sebezhetőségi bejelentő űrlaphoz irányította őket.
- A Redditen egyes felhasználók figyelmeztették a többieket, hogy figyeljék saját Linux rendszereiket, mert kiszivárgott hitelesítők miatt további támadások jöhetnek.
Mit érdemes tenni most?
- Ha Red Hat tanácsadói szolgáltatásokat vettél igénybe, kérdezd meg, hogy az adataid érintettek-e.
- Változtasd meg minden olyan hitelesítési adatot (token, kulcs, jelszó), amit Red Hat-hoz kapcsolódó projektekben használtál.
- Kövesd a Red Hat hivatalos közleményeit és frissítéseit az incidenssel kapcsolatban.
- Erősítsd meg a belső biztonsági gyakorlatokat: audit, hozzáférés-kezelés, titkosítás, naplózás.
Források:
BleepingComputer,
Red Hat hivatalos blog,
Dark Reading,
CyberScoop