Red Hat sufre una brecha de seguridad por el hackeo de una de sus instancias de GitLab

Red Hat ha sufrido una brecha de seguridad, confirmada por la empresa en un comunicado, que ha afectado a una de sus instancias de GitLab y que ha derivado en el robo de cerca de 570 GB de datos, comprimidos, de 28.000 repositorios de desarrollo interno de la empresa, relacionado con en área de consultoría de la compañía, Red Hat Consulting. Los repositorios de GitHub de la empresa no se han visto afectados, como sí se creyó en un primer momento.

Los datos robados, además, contienen datos de clientes de Red Hat. Se calcula que el grupo atacante, Crimson Collective, se ha hecho con unos 800 Informes de interacción con clientes (CERs), en los que hay información sensible sobre las plataformas y redes de los clientes. No obstante, aunque Red Hat ha confirmado el ataqu, no ha hecho lo mismo con la declaración de los atacantes sobre los CERs de clientes que han conseguido.

Un CER es un documento de consulta preparado por Red Hat para los clientes, que habitualmente incluye especificaciones de proyectos, trozos de código de ejemplo y distinta información interna sobre comunicaciones relacionadas con servicios de consultoría. La brecha de seguridad, según manifestaron los atacantes a Bleeping Computer, sucedió hace aproximadamente dos semanas.

El grupo de atacantes también ha publicado en Telegram un listado de los repositorios de GitLab cuyos datos han conseguido, y un listado de los CERs con los que se han hecho supuestamente, que van desde el año 2020 al 2025. El listado incluye los de empresas de todo tipo de sectores y tamaños. Entre ellas, al parecer, Bank of America, T-Mobile, Waltmart, Costco, la Cámara de Representantes de Estados Unidos y la Administración de Aviación Federal.

Además del comunicado, Red Hat ha publicado una actualización de seguridad, en la que reconocen que han detectado «un acceso no autorizado a una instancia de GitLab utilizada para la colaboración interna de Red Hat Consulting en determinados proyectos. Tras la detección, iniciamos inmediatamente una investigación exhaustiva, eliminamos el acceso de la parte no autorizada, aislamos la instancia y nos pusimos en contacto con las autoridades competentes. Nuestra investigación, que sigue en curso, ha revelado que un tercero no autorizado había accedido y copiado algunos datos de esta instancia. Ahora hemos implementado medidas de refuerzo adicionales diseñadas para ayudar a prevenir nuevos accesos y contener el problema«.

La compañía ha subrayado también que la instancia de GitLab a la que han accedido en el ataque la usan solo los miembros de su división de consultoría, y que la brecha de seguridad no tiene impacto en otros productos de Red Hat, ni en su cadena de suministro. Además, destacan que el software que ofrecen para su descarga a través de sus canales oficiales tampoco está afectado. Red Hat está ya poniéndose en contacto con los clientes afectados para compartir más información sobre cuáles de sus datos pueden haber quedado expuestos.