Der FOSS-Softwarehersteller Red Hat hat bestätigt, dass Unbekannte in eine selbstverwaltete GitLab Instanz eingedrungen sind. Diese wird ausschließlich von der Consulting Abteilung genutzt. Laut Unternehmensangaben fand der Zugriff bereits vor etwa zwei Wochen statt. Erste Hinweise auf den Vorfall lieferte eine Gruppierung namens Crimson Collective, die sich öffentlich zu dem Angriff bekannt hat.
Die Angreifer behaupten, rund 570 Gigabyte komprimierte Daten erbeutet zu haben. Diese stammen laut eigenen Angaben aus mehr als 28.000 internen Entwicklungs-Repositorys. Besonders brisant: Unter den gestohlenen Inhalten sollen auch rund 800 sogenannte Customer Engagement Reports enthalten sein. Diese Berichte werden im Rahmen von Beratungsprojekten erstellt und enthalten oft technische Details zu IT Infrastrukturen von Kunden.
Red Hat bestätigt die Kompromittierung der GitLab Instanz im Customer Portal, hält sich bei weiteren Details aber zurück. Die Untersuchung des Vorfalls laufe noch, teilte das Unternehmen mit. Es gebe aktuell keine Hinweise darauf, dass andere Dienste oder Produkte von Red Hat betroffen seien. Auch die Integrität der Software Lieferkette sei nicht beeinträchtigt. Der Zugang zur betroffenen Instanz wurde sofort nach Entdeckung gesperrt. Zusätzliche Sicherheitsmaßnahmen wurden bereits umgesetzt.
Die veröffentlichten Dateilisten deuten auf sensible Inhalte hin. So sollen Berichte von Organisationen wie der US Navy, dem Repräsentantenhaus, sowie großen Unternehmen wie AT&T, Walmart, T Mobile oder Bank of America betroffen sein. Die Angreifer behaupten, in den Daten Zugriffstoken, Datenbankverbindungen und interne Kommunikation gefunden zu haben. Diese Informationen sollen genutzt worden sein, um weitere Systeme zu erreichen.
Eine Erpressungsforderung wurde laut den Angreifern an Red Hat gesendet. Eine inhaltliche Reaktion habe es bislang nicht gegeben. Stattdessen sei auf das offizielle Meldesystem verwiesen worden. Die Hacker veröffentlichten daraufhin eine Liste aller angeblich betroffenen Projekte und Berichte über Telegram.
Red Hat informiert derzeit betroffene Kunden direkt über den Vorfall. Persönliche Daten sollen sich nach aktuellem Stand nicht unter den gestohlenen Dokumenten befinden. Die verwendete GitLab Version war eine selbst betriebene Community Edition. GitLab selbst betont, dass die Plattform nicht kompromittiert wurde. Die Verantwortung für die Sicherheit liege bei den jeweiligen Betreibern.
Schreibe einen Kommentar