身份验证服务和身份与访问管理 (IAM) 解决方案的领先提供商 Okta 表示,其私人 GitHub 存储库本月遭到黑客攻击。
根据 Okta 发送并被my.28u.cc看到的“机密”电子邮件通知,安全事件涉及威胁参与者窃取 Okta 的源代码。
源代码被盗,客户数据未受影响
my.28u.cc获得了一份“机密”安全事件通知,Okta 已在几个小时前通过电子邮件将其发送给“安全联系人”。我们已确认包括 IT 管理员在内的多个来源已收到此电子邮件通知。
本月早些时候,GitHub 提醒 Okta 对 Okta 代码存储库的可疑访问,通知称。
“经过调查,我们得出结论,这种访问被用来复制 Okta 代码存储库,”该公司首席安全官 (CSO) 大卫·布拉德伯里 (David Bradbury) 在电子邮件中写道。
该公司表示,尽管窃取了 Okta 的源代码,但攻击者并未获得对 Okta 服务或客户数据的未授权访问权限。Okta 的“HIPAA、FedRAMP 或 DoD 客户”不受影响,因为该公司“不依赖其源代码的机密性作为保护其服务的手段。” 因此,不需要客户采取任何行动。
在撰写我们的报告时,考虑到电子邮件措辞,该事件似乎与 Okta Workforce Identity Cloud (WIC) 代码存储库有关,但与 Auth0 Customer Identity Cloud 产品无关。
BleepingComputer 审阅的通知其余部分的摘录如下:
一旦 Okta 得知可能的可疑访问,我们立即对 Okta GitHub 存储库的访问进行了临时限制,并暂停了所有 GitHub 与第三方应用程序的集成。
此后,我们审查了最近对 GitHub 托管的 Okta 软件存储库的所有访问,以了解暴露的范围,审查了最近对 GitHub 托管的 Okta 软件存储库的所有提交,以验证我们代码的完整性,并轮换了 GitHub 凭据。我们还通知了执法部门。
此外,我们已采取措施确保此代码不能用于访问公司或客户环境。Okta 预计不会因此事件对我们的业务或我们为客户提供服务的能力造成任何干扰。
注意:安全事件与 Okta Workforce Identity Cloud (WIC) 代码存储库有关。它与任何 Auth0(客户身份云)产品无关。
我们决定根据我们对透明度和与客户合作的承诺来分享这些信息。
Okta 在结束其承诺“透明承诺”的“机密”电子邮件时表示,它今天将在其博客上发表声明。
在发布之前,BleepingComputer 联系了 Okta 提出问题,但没有立即得到答复。
Okta 安全事件:年度回顾
对于 Okta 来说,这是艰难的一年,发生了一系列安全事件和颠簸的披露。
今年 9 月,Okta 旗下的 Auth0 披露了类似风格的事件。据认证服务提供商称,较旧的 Auth0 源代码存储库是由“第三方个人”通过未知方式从其环境中获取的。但是,Okta 的问题很久以前就开始了,因为围绕其 1 月黑客事件的披露存在违规行为。
今年 3 月,数据勒索组织 Lapsus$ 声称可以访问 Okta 的 管理控制台和客户数据,并开始在 Telegram 上发布被盗数据的屏幕截图。
在表示正在调查这些说法后,Okta 很快承认所提到的黑客攻击实际上发生在 2022 年 1 月下旬,并可能 影响其 2.5% 的客户。考虑到 Okta当时的 15,000 多个客户群,这个数字在当时估计约为 375 个组织。
同一周,Okta 承认它在延迟披露这起黑客攻击方面“犯了一个错误”,该公司表示,这起黑客攻击源自其第三方承包商 Sitel (Sykes)。
4 月,Okta 澄清说 1 月的数据泄露事件持续了“连续 25 分钟”,影响明显小于最初的预期: 仅限于两个客户。
