Pada 2 Oktober 2025, Red Hat mengonfirmasi adanya akses tidak sah pada salah satu GitLab instance internal yang digunakan oleh tim konsultasi Red Hat[2]. Kelompok peretas “Crimson Collective” mengklaim telah mencuri hampir 570 GB data terkompresi dari sekitar 28.000 repositori privat milik Red Hat[1]. Data yang terekspos mencakup sekitar 800 Customer Engagement Reports (CER), yaitu dokumen yang berisi rincian infrastruktur jaringan, konfigurasi sistem, token autentikasi, serta kunci API milik klien[1]. Insiden ini berpotensi memengaruhi perusahaan yang memakai layanan Red Hat Consulting—termasuk mereka yang menyerahkan kata sandi, token, atau pengaturan sistem—serta penyedia layanan TI, mitra hosting, dan sistem yang terhubung ke layanan Red Hat[4].

Dampak potensial insiden ini meliputi: adanya akses tidak sah ke sistem internal menggunakan kredensial atau token yang dicuri; pergerakan lateral (lateral movement) dari lingkungan yang sudah dikompromikan ke sistem lain; pencurian data sensitif perusahaan atau data pelanggan; serta gangguan operasi TI akibat akses atau perubahan konfigurasi. Selain itu, terungkapnya detail konfigurasi dapat membuka vektor serangan tambahan dan memperbesar risiko kompromi lebih lanjut terhadap infrastruktur yang terintegrasi[4].

Sejauh ini belum ada informasi mengenai langkah - langkah serangan yang dilakukan oleh penyerang secara rinci. Namun, berdasarkan investigasi Red Hat penyerang mendapatkan akses ke GitLab instance yang digunakan divisi konsultasi Red Hat[1]. Setelah itu, pelaku mengakses dan menyalin beberapa data pada instance tersebut[2].

Berikut beberapa langkah mitigasi & hardening untuk pengguna produk Red Hat & GitLab instance private

Untuk Perusahaan Pengguna Produk Red Hat:

1. Lakukan korespondensi dan konfirmasi lebih lanjut dengan pihak principal Red Hat terkait insiden tersebut.

Untuk User Gitlab:

1. Pastikan untuk melakukan reset password secara berkala.
2. Aktifkan multifactor authentication MFA untuk masuk kedalam GitLab.

Untuk Admin GitLab Instance:

1. Terapkan langkah tambahan saat user sign-up: non-aktifkan self sign-up, batasi domain dan verifikasi email, serta terapkan password policy guideline.
2. Batasi visibility group & project, dan atur Private secara default.
3. Semua token, key, dan kredensial yang digunakan dalam integrasi wajib disimpan dalam secret manager seperti HashiCorp Vault dsb.
4. Pastikan semua koneksi proses CI/CD menggunakan TLS 1.2 atau lebih tinggi. Jika memungkinkan gunakan mutual TLS (mTLS).
5. Untuk detil informasi lebih lanjut mengenai hardening GitLab Instance dapat dilihat pada referensi poin 3
6.