El ataque
Red Hat confirmó que un grupo de atacantes, que se hace llamar Crimson Collective, logró comprometer una instancia de GitLab utilizada exclusivamente por su división de consultoría. Los cibercriminales aseguran haber robado cerca de 570 GB de información comprimida, perteneciente a más de 28,000 repositorios internos de desarrollo.
Entre los datos sustraídos destacan aproximadamente 800 Customer Engagement Reports (CERs), documentos de consultoría que pueden contener información crítica sobre la infraestructura tecnológica de los clientes, configuraciones, tokens de autenticación y otros datos sensibles que, en malas manos, podrían facilitar ataques a redes corporativas.
Datos expuestos
El grupo afirmó que los informes robados corresponden a clientes de alto perfil, incluyendo entidades financieras, compañías de telecomunicaciones, cadenas minoristas, instituciones de salud y agencias gubernamentales de Estados Unidos. Entre los nombres mencionados figuran Bank of America, T-Mobile, AT&T, Walmart, Costco, la Marina de EE. UU., la FAA y la Cámara de Representantes, entre otros.
Los atacantes aseguran que hallaron credenciales, URIs de bases de datos y tokens de acceso en el código de Red Hat y en los CERs, lo que les habría permitido incluso acceder a infraestructuras de clientes.
Respuesta de Red Hat
En un comunicado oficial, Red Hat confirmó la intrusión y aclaró que la brecha se limitó a la instancia de GitLab de su área de consultoría. Según la empresa, no hay indicios de que otros servicios, productos o la cadena de suministro de software se hayan visto afectados.
Tras detectar el acceso no autorizado, la compañía tomó medidas inmediatas: revocó accesos, aisló la instancia comprometida, notificó a las autoridades y reforzó la seguridad de su entorno. Además, comenzó a contactar directamente a los clientes potencialmente afectados para proporcionar detalles sobre lo sucedido.
Intento de extorsión
Los atacantes habrían intentado extorsionar a Red Hat, pero la compañía no respondió a sus demandas. Según el grupo, sus comunicaciones fueron canalizadas como si se tratara de reportes de vulnerabilidad, lo que generó frustración en los delincuentes.
En paralelo, Crimson Collective también se adjudicó el defacement de una página de Nintendo la semana anterior, lo que refuerza su búsqueda de notoriedad en la comunidad de ciberseguridad.
Impacto y lecciones
Aunque Red Hat afirma que los CERs usualmente no contienen información personal, la exposición de especificaciones de proyectos, ejemplos de código y comunicaciones internas representa un riesgo significativo para clientes de sectores críticos.
Este incidente pone en evidencia la importancia de reforzar la seguridad en instancias autogestionadas de herramientas colaborativas como GitLab, así como la necesidad de limitar la inclusión de credenciales y datos sensibles en repositorios de código.
