訂正:公開後、Red HatはGitHubではなく、自社のGitLabインスタンスの1つが侵害されたことを確認しました。タイトルと記事を更新しました。
「Crimson Collective」と名乗る恐喝グループが、28,000件の社内開発リポジトリから圧縮データ約570GBを盗んだと主張しており、Red Hatは自社のGitLabインスタンスの1つが侵害されたことを認めました。
このデータには、約800件のカスタマー・エンゲージメント・レポート(CER)が含まれているとされており、これらには顧客のネットワークやプラットフォームに関する機密情報が含まれる可能性があります。
CERは、顧客向けに作成されるコンサルティング文書であり、インフラの詳細、構成データ、認証トークン、その他顧客ネットワーク侵害に悪用されうる情報が含まれることがよくあります。
Red Hatは、コンサルティング事業に関連するセキュリティインシデントが発生したことを認めましたが、盗まれたGitLabリポジトリや顧客CERに関する攻撃者の主張については確認しませんでした。
「Red Hatは、当社のコンサルティング事業に関連するセキュリティインシデントに関する報告を認識しており、必要な是正措置を開始しました」とRed HatはBleepingComputerに語りました。
「当社のシステムおよびお客様からお預かりしているデータのセキュリティと完全性は最優先事項です。現時点では、このセキュリティ問題が他のRed Hatサービスや製品に影響を与えているとは考えておらず、当社のソフトウェアサプライチェーンの完全性にも高い自信を持っています。」
記事公開後、Red HatはこのセキュリティインシデントがRed Hat Consultingのコンサルティング業務専用で使用されていたGitLabインスタンスの侵害であり、GitHubではなかったことを確認しました。
Red Hatはこの侵害に関する追加の質問には回答しませんでしたが、ハッカーはBleepingComputerに対し、侵入は約2週間前に発生したと語りました。
彼らはRed HatのコードやCER内で認証トークン、完全なデータベースURI、その他の機密情報を発見し、それらを利用して下流の顧客インフラへのアクセスを得たと主張しています。
ハッカーグループはまた、盗まれたとされるGitLabリポジトリの完全なディレクトリリストと、2020年から2025年までのCERリストをTelegram上で公開しました。
CERのディレクトリリストには、バンク・オブ・アメリカ、T-Mobile、AT&T、Fidelity、Kaiser、Mayo Clinic、Walmart、Costco、米海軍水上戦センター、連邦航空局、下院など、幅広い業種や有名組織が含まれています。
このインシデントや他の未公開の攻撃に関する情報をお持ちの方は、Signal(646-961-3731)または[email protected]まで、機密保持の上ご連絡ください。
ハッカーによると、Red Hatに対して恐喝要求とともに連絡を試みましたが、脆弱性レポートをセキュリティチームに提出するよう指示する定型文の返信しか受け取らなかったとのことです。
彼らによれば、作成されたチケットはRed Hatの法務およびセキュリティ担当者を含む複数の人物に繰り返し割り当てられたそうです。
BleepingComputerはRed Hatに追加の質問を送りました。新たな情報が得られ次第、この記事を更新します。
同じグループは、先週一時的に任天堂のトピックページを改ざんし、連絡先情報やTelegramチャンネルへのリンクを掲載したことも主張しています。
2025年10月2日更新:Red Hatによる訂正で、侵害されたのはGitHubアカウントではなくGitLabインスタンスであったことを反映して記事を更新しました。
