Red Hat подтвердила инцидент безопасности, связанный с несанкционированным доступом к самоуправляемому экземпляру GitLab Community Edition, используемому исключительно для внутренних проектов подразделения Red Hat Consulting. Утечка данных, по данным злоумышленников, затронула около 28 тысяч репозиториев, включая 800 отчётов о взаимодействии с клиентами (CER), содержащих техническую информацию: конфигурации систем, токены API, ключи шифрования, адреса внутренних сервисов и данные инфраструктуры клиентов.

Предполагаемый объём украденных данных — 570 ГБ — включает не только исходный код, но и документы, содержащие детали развертывания решений Red Hat на стороне заказчика. Среди упомянутых в списке организаций — Bank of America, T-Mobile, AT&T, Fidelity, Kaiser Permanente, Mayo Clinic, Walmart, Costco, Центр надводных боевых действий ВМС США, Федеральное управление гражданской авиации и Палата представителей США. Список репозиториев и CER, опубликованный злоумышленниками в Telegram, охватывает период с 2020 по 2025 год.

Хакерская группа Crimson Collective заявила, что получила доступ к серверу через утечку учётных данных в коде — в частности, через зафиксированные в репозиториях токены аутентификации и URI баз данных, которые позволяли напрямую взаимодействовать с инфраструктурой клиентов. По их утверждению, компания не отреагировала на первые попытки сообщить о найденной уязвимости — тикеты в системе отслеживания ошибок неоднократно перенаправлялись между юридическим отделом и службой безопасности, без оперативного реагирования.

Red Hat заявила, что инцидент не затронул основные продукты, платформы или публичные сервисы компании, включая Red Hat Enterprise Linux, OpenShift или другие коммерческие решения. Утечка ограничена одним экземпляром GitLab, развернутым на инфраструктуре Red Hat Consulting и управляемым внутренней командой — в соответствии с политикой ответственности за самоуправляемые установки, указанной GitLab: клиент (в данном случае — подразделение Red Hat) несёт полную ответственность за безопасность таких сред.

В ответ на инцидент Red Hat изолировала скомпрометированный сервер, отозвала все активные токены, проведённые расследования и укрепила меры контроля доступа. Компания также начала уведомление пострадавших клиентов, хотя подчеркивает, что отчёты CER, как правило, не содержат персональных данных, а их содержание ограничивается техническими описаниями, архитектурными схемами и параметрами развертывания.

GitLab подтвердил, что его платформа и облачные сервисы не были скомпрометированы — инцидент произошёл на собственном экземпляре Community Edition, развернутом в инфраструктуре Red Hat, что соответствует модели «shared responsibility»: провайдер отвечает за платформу, клиент — за её настройку, безопасность и обновление.

Инцидент демонстрирует уязвимость в практике управления внутренними инструментами разработки: самоуправляемые системы, не проходящие централизованного аудита, становятся точками входа для атак, даже если они не являются частью публичной инфраструктуры. Использование статических токенов в коде, отсутствие автоматического сканирования секретов в репозиториях и недостаточная изоляция консалтинговых проектов от основной инфраструктуры создали условия для масштабной утечки.

В результате — не только риск компрометации инфраструктуры клиентов, но и потенциальные юридические и репутационные последствия для Red Hat, особенно в контексте её позиционирования как поставщика корпоративных решений с высокими требованиями к безопасности. Случай подчеркивает, что даже в компаниях с сильной ИБ-культурой уязвимости возникают не в публичных продуктах, а в скрытых, плохо управляемых внутренних системах.