De ransomware-aanval op Red Hat-lek onthult hoe vertrouwelijke klantdata via één consulting-omgeving konden weglekken. De datadiefstal van 570 GB aan technische details van achthonderd organisaties laat zien hoe kwetsbaar supply chains zijn.
De recente datadiefstal bij Red Hat, waarbij een GitLab-omgeving van het consultingteam werd gecompromitteerd, laat zien hoe kwetsbaar zelfs de meest gerenommeerde it-leveranciers zijn, stelt Cybernews. Volgens Red Hat zelf is hun software-supplychain niet geraakt, maar de gestolen data – zo ’n 570 GB uit 28.000 repositories – bevatten onder meer customer engagement reports (cers) van circa achthonderd grote organisaties zoals IBM, Citi, Verizon, de NSA en het Amerikaanse ministerie van Energie.
De ernst van het incident zit niet alleen in de omvang, maar vooral in de aard van de gelekte informatie. De zogeheten Cers bevatten netwerkconfiguraties, vpn-profielen, automation scripts, tokens en andere technische details die normaal alleen intern gedeeld worden. ‘Deze documenten zijn voor aanvallers een kant-en-klare routekaart naar kwetsbaarheden. Reconnaissance is overbodig — de infrastructuur ligt open,’ analyseert Aras Nazarovas, senior information security researcher van Cybernews.
Domino-effect door ransomware-lek
Red Hat benadrukt dat het lek beperkt is tot één GitLab-instance en dat er geen gevoelige persoonsgegevens zijn aangetroffen. Toch is het risico op keteneffecten groot. Veel van de getroffen organisaties zijn dienstverleners met miljoenen eindgebruikers. Als hun systemen worden misbruikt via deze gelekte informatie, raakt dat ook burgers en bedrijven die van hun diensten afhankelijk zijn.
Organisaties moeten hun leveranciers en partners kritisch blijven beoordelen en verder kijken dan de eigen firewall, onderstreept Nazarovas de uitdaging. Vertrouwen in de supplychain is essentieel, maar moet gepaard gaan met controle, segmentatie en monitoring. Zeker bij consultancytrajecten, waar diepgaande toegang tot systemen wordt verleend, is dataveiligheid cruciaal. Verder roept de diefstal vragen op over de communicatie van Red Hat: de cybercriminelen claimen dat hun meldingen genegeerd zijn, en dat ze op hun afpersingsdreigementen geen reactie kregen.
Red Hat benadrukt dat er geen gevoelige persoonsgegevens zijn aangetroffen.
Fijn, we kunnen weer rustig slapen.
Waar gaat het dan om ?
“De ernst van het incident zit niet alleen in de omvang, maar vooral in de aard van de gelekte informatie. De zogeheten Cers bevatten netwerkconfiguraties, vpn-profielen, automation scripts, tokens en andere technische details die normaal alleen intern gedeeld worden. ‘Deze documenten zijn voor aanvallers een kant-en-klare routekaart naar kwetsbaarheden.”
Ah, ok. Precies waar hackers naar op zoek zijn.
Aangeboden op presenteerblaadje.
Blijkbaar is deze informatie niet zo veilig bij RedHat.
Gelukkig gaat het hier om een professioneel bedrijf dat hier goed mee weet om te gaan : alleen “de cybercriminelen claimen dat hun meldingen genegeerd zijn” wat de PDCA cycle vast wat vertraagt.
“Our investigation, which is ongoing, found that an unauthorized third party had accessed and copied some data from this instance.”
“some data” dus. Hoe erg kan het zijn he ?
Zo’n 570 GB uit 28.000 repositories met gedetailleerde info over netwerktopologien van klanten lees ik hier dus.
Misschien houdt het bedrijf zulke zaken liever onder de hat.
Red Hat’s verklaring is strategisch, met advocaten die op de achtergrond kijken naar aansprakelijkheid vanwege eventuele schadeclaims. Amerikaanse advocaten sturen namelijk op: “Wij erkennen geen wettelijke datalekplicht maar handelen contractueel conform onze verplichtingen.” Als Red Hat kan beweren dat er geen persoonsgegevens zijn gelekt dan vervalt de wettelijke verplichting tot melding onder privacywetgeving. Tenminste in Europa waar we in een grijs gebied komen als het om de toeleveringsketen gaat. Want er is geen transparantieverplichting over datalekken van niet-persoonsgebonden data maar wel over de strategisch gevoelige data volgens bijvoorbeeld NIS2, meldingen zouden in dat geval binnen moeten komen bij NCSC als het Nederlandse bedrijven betreft. Deze juridische ‘supply-chain loophole’ is vooral interessant als voorbeeld want wie of wat bepaalt eigenlijk dat het om strategisch gevoelige data gaat?
Technisch heb je gelijk Dino maar juridisch gaat het om de eventuele schadeclaims die uiteindelijk om het doorschuiven van verantwoordelijkheid in de ketens gaat. Het temmen van de papieren tijgers via service level contracten zorgt ervoor dat de verhouding juristen en ontwikkelaars 5 op 1 is.