红帽GitLab遭Crimson Collective入侵，570GB数据被盗

勒索组织声称大规模数据窃取

自称“Crimson Collective”的勒索组织声称窃取了红帽咨询部门28000个内部开发仓库中的570GB压缩数据。该组织表示，被盗信息包括约800份客户参与报告（CERs）——这些内部咨询文件可能详细记录客户基础设施、配置和认证数据， potentially使企业网络面临后续入侵风险。

在相关声明出现后，红帽确认事件涉及其咨询组织专用的自托管GitLab实例——而非最初报道的GitHub。红帽在安全更新中表示：“我们最近检测到用于特定项目中红帽咨询内部协作的GitLab实例遭到未经授权访问。检测到后，我们立即启动全面调查，移除未授权方的访问权限，隔离实例，并联系了相关当局。”

红帽强调此次入侵未影响其他任何产品或软件供应链，指出GitLab环境与生产系统是隔离的。

公司承认受入侵实例包含咨询参与报告（CERs）和相关项目数据。这些文档可能包含技术规范、示例代码和内部通信，但红帽表示目前未发现个人信息。红帽正在直接联系受影响客户，分享调查结果和缓解指南。

Crimson Collective告诉BleepingComputer，入侵发生在披露前两周，期间他们窃取了认证令牌、数据库URI和其他私有凭证。该组织在Telegram频道发布了据称是2020年至2025年期间被盗GitLab仓库和CERs的目录列表。

列表中的客户涉及多个行业，包括美国银行、T-Mobile、AT&T、富达投资、凯撒医疗、梅奥诊所、沃尔玛、好市多、美国海军、联邦航空管理局和美国众议院。

该组织声称曾试图勒索红帽，但仅收到自动回复，指示他们提交漏洞报告——他们声称该工单后来在红帽法律和安全团队间流转。

GitLab Inc.向BleepingComputer确认其托管平台和客户账户未受影响，指出入侵涉及红帽自托管的社区版实例。GitLab重申客户需负责自托管安装的安全，并敦促管理员审查访问控制、审计日志和网络隔离策略。

红帽表示调查仍在进行中，并已实施额外加固措施以防止进一步访问。公司对其软件供应链的完整性保持信心，强调没有证据表明红帽企业Linux或相关仓库遭到入侵。

与此同时，Crimson Collective继续在Telegram上发帖，最近声称对篡改任天堂主题页面负责——这一举动显然是为了引起对其勒索活动的关注。