Okta אומר שקוד המקור עבור שירות Workforce Identity Cloud הועתק

ספקית כניסה יחידה Okta אמרה ביום רביעי שקוד התוכנה עבור שירות Okta Workforce Identity Cloud שלה הועתק לאחר שפורצים קיבלו גישה למאגר הפרטי של החברה ב-GitHub.

"החקירה שלנו הגיעה למסקנה שלא הייתה גישה בלתי מורשית לשירות Okta, ואין גישה בלתי מורשית לנתוני לקוחות", אמרו גורמים בחברה בכתב הַצהָרָה. "Okta אינה מסתמכת על הסודיות של קוד המקור שלה לצורך אבטחת השירותים שלה. שירות Okta נשאר תפעולי ומאובטח במלואו."

בהצהרה נאמר כי קוד המקור המועתק מתייחס רק ל-Okta Workforce Identity Cloud ואינו נוגע למוצרי Auth0 המשמשים עם Customer Identity Cloud של החברה. גורמים רשמיים אמרו גם כי עם היוודע דבר ההפרה, אוקטה הציבה הגבלות זמניות על הגישה למאגרי GitHub של החברה והשעתה שילובי GitHub עם אפליקציות צד שלישי.

"מאז סקרנו את כל הגישה האחרונה למאגרי תוכנת Okta המאוחסנים על ידי GitHub כדי להבין את היקף החשיפה, סקרנו את כל התחייבות אחרונה למאגרי תוכנת Okta המתארחים עם GitHub כדי לאמת את שלמות הקוד שלנו, ואישורי GitHub החליפו", ההצהרה הוסיף. "הודענו גם לרשויות אכיפת החוק".

Okta Workforce Identity Cloud מספק ניהול גישה, ממשל ובקרות גישה מורשות בחבילה אחת. ארגונים גדולים רבים מטפלים בדברים הללו בחתיכות תוך שימוש בתהליכים ידניים. השירות, אשר Okta

הוצג בחודש שעבר, נועד לאחד ולהפוך תהליכים אלה לאוטומטיים.

במרץ האחרון, קבוצת Lapsus$ כופר פרסמה תמונות שנראה כי היו להן השיג נתונים קנייניים מ- Okta ו- Microsoft. גורמים רשמיים של Okta אמרו שהנתונים הושגו לאחר ששחקן האיום קיבל גישה לא מורשית לחשבון של "מהנדס תמיכת לקוחות צד שלישי שעובד עבור אחד ממעבדי המשנה שלנו".

החברה אמרה שהניסיון לפרוץ את Okta לא צלח וכי הגישה שההאקרים קיבלו אל חשבון צד שלישי לא אפשר להם ליצור או למחוק משתמשים, להוריד מסדי נתונים של לקוחות או לקבל סיסמה נתונים. חברי Lapsus$ הפריכו טענה זו וציינו שצילומי המסך ציינו שהם התחברו לפורטל משתמש העל, הסטטוס שלדבריהם נתן להם את היכולת לאפס את הסיסמאות ואת אישורי האימות הרב-גורמי של 95 של Okta לקוחות.

באוגוסט, Okta אמרה שהאקרים שפרצו לאחרונה לספק האבטחה Twilio השתמשו בגישה שלהם כדי להשיג מידע השייך למספר לא מוגדר של לקוחות Okta. טוויליו חשף את ההפרה שלושה שבועות קודם לכן ואמרה שהיא אפשרה לשחקן האיומים להשיג נתונים עבור 163 לקוחות. Okta אמר כי שחקן האיום יכול להשיג מספרי טלפון ניידים והודעות SMS הקשורות המכילות סיסמאות חד פעמיות של חלק מלקוחותיה.

בספטמבר, אוקטה גילה שגם למאגרי הקוד של Auth0, חברה שרכשה ב-2021, גישה ללא אישור.

החשיפה ביום רביעי של העתקת קוד המקור של Okta הייתה דווח לראשונה מאת Bleeping Computer.