'Vijfduizend Red Hat-klanten getroffen door inbraak op GitLab-omgeving'
Meer dan vijfduizend klanten van Red Hat zijn getroffen door een inbraak op de GitLab-omgeving van het techbedrijf, waaronder ING en Delta Airlines, zo stelt de Britse beveiligingsonderzoeker Kevin Beaumont. Aanvallers claimden vorige week een grote hoeveelheid data uit een GitLab-omgeving van Red Hat te hebben gestolen. GitLab is een populair platform gebruikt voor de ontwikkeling van software en DevOps.
In een blogposting verklaarde Red Hat dat aanvallers hadden ingebroken op een GitLab-omgeving gebruikt door de consultancytak van het bedrijf en dat het in contact was met getroffen klanten. De aanvallers hebben via hun eigen website nu meer van de data openbaar gemaakt die bij Red Hat zou zijn gestolen. Volgens Beaumont blijkt daaruit dat meer dan vijfduizend Red Hat-klanten gevaar lopen.
"Sommige van de data is overduidelijk zeer gevoelig, bijvoorbeeld .pfx bestanden (private certificaten, die nooit openbaar moeten worden gemaakt) - in dit geval voor ING Bank en Delta Airlines", aldus de Britse beveiligingsonderzoeker. Volgens Beaumont moeten getroffen klanten certificaten en inloggegevens wijzigen en ervan uitgaan dat alle gestolen data openbaar wordt gemaakt. Hoe de aanvallers op de GitLab-omgeving konden inbreken is niet bekendgemaakt.
Kennis, gedrag en houding. Op alle mogelijke gebieden. Risk management, security awareness, noem maar op. Van management tot systeembeheer, van de business tot aan de programmeurs. Daarom houdt de eindeloze stroom aan ellendige berichten in dit vakgebied ook niet op.
Als dit zou gebeuren bij een willekeurig ander vakgebied, zeg veiligheid bij het werken aan het spoor/ de weg/ in de haven, dan zou alles op slot zijn gegaan. Maar in IT-land is dit gewoon geaccepteerd gedrag waar iedereen zich bij neer heeft gelegd. Kan gebeuren, en dooooor. Ook de komende 20 jaar gaat er helemaal niets veranderen.
Wilt u een dikbelegde boterham verdienen? Ga de security in. Ook AI zal hier helemaal niets aan veranderen. De kern van het probleem wordt namelijk niet aangepakt. Daar doet de volgende IT-hype in de vorm van een AI-sausje, niets aan af. Trendbreuken? Al 30 jaar niet voorgekomen, dus don't keep your hopes up.
Ik was toch al overgegaan naar SUSE Linux ivm Amerikaanse afhankelijkheid. Na deze laatste overname is SUSE (van oorsprong Duits) een onafhankelijk bedrijf in handen van een Europese investeringsmaatschappij.
Redhat en Microsoft zijn tegenwoordig ook veel te close.
Ik was toch al overgegaan naar SUSE Linux ivm Amerikaanse afhankelijkheid. Na deze laatste overname is SUSE (van oorsprong Duits) een onafhankelijk bedrijf in handen van een Europese investeringsmaatschappij.
Redhat en Microsoft zijn tegenwoordig ook veel te close.
Omdat ze lak hebben aan iedereen. Maar welke dombo heeft hen die data gegeven? Die mogen uiteraard ook even gebrandmerkt worden want waarom vertrouw je een 3rd party met jouw certificaten?
man openssl-pkcs12:
... By default the private key and the certificates are encrypted using AES-256-CBC ...
[NB het valt me wel op dat vele reaguurders hier niet veel weten van de inhoud maar oh zo vlug een conclusie hebben/trekken]
psst certificaten zijn de publieke onderdelen van public-private key encryption. google zelf maar eens...
man openssl-pkcs12:
... By default the private key and the certificates are encrypted using AES-256-CBC ...
[NB het valt me wel op dat vele reaguurders hier niet veel weten van de inhoud maar oh zo vlug een conclusie hebben/trekken]
man openssl-pkcs12:
... By default the private key and the certificates are encrypted using AES-256-CBC ...
[NB het valt me wel op dat vele reaguurders hier niet veel weten van de inhoud maar oh zo vlug een conclusie hebben/trekken]
- Redhat en GitLab draaien op Linux en om dus met pkcs12 files overweg te gaan is de tool vrijwel 100% zeker weten openssl.
- inderdaad mijn punt, maar lees nu eens de eerste paar posts van dit draadje... niemand van RedHat zelf stelt dat deze pfx files een issue zijn, het zijn anderen die bij het woord "certificaat" meteen in de paniek houding springen en dat is waarschijnlijk zo omdat ze geen inhoudelijke kennis hebben over PKI. Kijk het wordt anders als naast de pfx files ook de corresponderende wachtwoorden voor die pfx file in die GitLab data zaten!
Kennis, gedrag en houding. Op alle mogelijke gebieden. Risk management, security awareness, noem maar op. Van management tot systeembeheer, van de business tot aan de programmeurs. Daarom houdt de eindeloze stroom aan ellendige berichten in dit vakgebied ook niet op.
Als dit zou gebeuren bij een willekeurig ander vakgebied, zeg veiligheid bij het werken aan het spoor/ de weg/ in de haven, dan zou alles op slot zijn gegaan. Maar in IT-land is dit gewoon geaccepteerd gedrag waar iedereen zich bij neer heeft gelegd. Kan gebeuren, en dooooor. Ook de komende 20 jaar gaat er helemaal niets veranderen.
Wilt u een dikbelegde boterham verdienen? Ga de security in. Ook AI zal hier helemaal niets aan veranderen. De kern van het probleem wordt namelijk niet aangepakt. Daar doet de volgende IT-hype in de vorm van een AI-sausje, niets aan af. Trendbreuken? Al 30 jaar niet voorgekomen, dus don't keep your hopes up.
Ah ja, het spoor en de wegen in Nederland: van top kwaliteit.
Helemaal eens dat onze wegen goed zijn en dat er bij een ongeluk grondig onderzoek wordt gedaan maar als je kijkt hoe goed de kwaliteit is van het risico management en de kwaliteit van de dienstverlening (treinen rijden nooit op tijd, duur, autowegen overvol en veel files) dan zie je daar wel een verschil.
Zo zou het bij Red Hat ook gegaan zijn: afweging innovatie/velocity vs risk mgmt.
Alles dicht timmeren en geen innovatie is einde verhaal RH.
De balans daarentegen is waar je veel geld mee kan verdienen binnen een bedrijf.
Het roepen dat het allemaal slecht is, denk ik niet (spreek uit 20+ jaar ervaring).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?