概要
Red Hatは、ハッカーによるGitLabインスタンスの侵害後、セキュリティインシデントが発生したことを確認しました。当初GitHubと報じられましたが、後にRed HatによってGitLabアカウントの侵害であったことが確認されています。
「Crimson Collective」と名乗る恐喝グループは、Red HatのプライベートGitLabリポジトリに侵入し、約28,000の内部プロジェクトから約570GBの圧縮データを盗んだと主張しています。
侵害の詳細と盗まれたデータ
盗まれたデータには、顧客のネットワークやプラットフォームに関する機密情報を含む約800件の顧客エンゲージメントレポート(CER)が含まれているとされています。CERは、顧客向けに作成されるコンサルティング文書であり、しばしば以下の情報を含みます。
- インフラストラクチャの詳細
- 設定データ
- 認証トークン
- その他、顧客ネットワークへの侵入に悪用されうる情報
ハッカーは、Red HatのコードやCERから認証トークン、完全なデータベースURI、その他のプライベート情報を発見し、これらを利用して下流の顧客インフラにアクセスしたと主張しています。
Red Hatの対応
Red Hatは、コンサルティング事業に関連するセキュリティインシデントが発生したことを認めましたが、盗まれたGitLabリポジトリや顧客CERに関する攻撃者の主張については確認を避けました。
Red HatはBleepingComputerに対し、「Red Hatは、当社のコンサルティング事業に関連するセキュリティインシデントの報告を認識しており、必要な是正措置を開始しました。当社のシステムおよび当社に委託されたデータのセキュリティと整合性は、当社の最優先事項です。現時点では、このセキュリティ問題が当社の他のRed Hatサービスや製品に影響を与えていると考える理由はなく、当社のソフトウェアサプライチェーンの整合性には高い自信を持っています」と述べています。
ハッカーの主張と顧客への影響
ハッカーはBleepingComputerに対し、侵入は約2週間前に発生したと語っています。彼らは、盗まれたGitLabリポジトリの完全なディレクトリリストと、2020年から2025年までのCERのリストをTelegramで公開しました。CERのディレクトリリストには、幅広い分野の著名な組織が含まれており、その中には以下のような企業や機関があります。
- Bank of America
- T-Mobile
- AT&T
- Fidelity
- Kaiser
- Mayo Clinic
- Walmart
- Costco
- U.S. Navy’s Naval Surface Warfare Center
- Federal Aviation Administration
- House of Representatives
恐喝の試みと今後の展開
ハッカーはRed Hatに恐喝要求を試みましたが、脆弱性レポートをセキュリティチームに提出するよう指示する定型的な返信しか得られなかったと述べています。彼らによると、作成されたチケットはRed Hatの法務およびセキュリティスタッフを含む複数の担当者に繰り返し割り当てられたとのことです。
BleepingComputerはRed Hatに追加の質問を送っており、さらなる情報が入り次第、記事を更新する予定です。なお、このグループは先週、Nintendoのトピックページを一時的に改ざんし、連絡先情報とTelegramチャンネルへのリンクを含めたことについても責任を主張しています。