.
Os invasores copiaram o código-fonte pertencente à Okta depois de violar os repositórios GitHub da empresa de gerenciamento de identidade.
A Okta foi alertada pelo GitHub, de propriedade da Microsoft, no início deste mês sobre “acesso suspeito” a seus repositórios de código e determinou que criminosos copiaram o código associado à Workforce Identity Cloud (WIC) da empresa, uma ferramenta de gerenciamento de identidade e acesso voltado para empresas para permitir que funcionários e parceiros para trabalhar de qualquer lugar.
A empresa disse em um declaração esta semana que sua investigação descobriu que não houve violação do próprio serviço WIC ou acesso não autorizado aos dados do cliente, incluindo HIPAA, FedRAMP ou clientes do Departamento de Defesa.
Além disso, a Okta disse que não precisa que o código-fonte permaneça confidencial para proteger seus serviços, por isso ainda está operacional e seguro.
As autoridades também disseram que a violação não afetou o Auth0 e/ou o Customer Identity Cloud da Okta para aplicativos de consumidor e software como serviço (SaaS). A Okta comprou a Auth0 no ano passado por US$ 6,5 bilhões em um acordo que reuniu dois fornecedores de gerenciamento de identidade e acesso (AIM) de alto perfil.
Depois de saber do acesso suspeito, o fornecedor restringiu temporariamente o acesso aos repositórios GitHub da Okta e suspendeu as integrações do GitHub com aplicativos de terceiros.
“Desde então, revisamos todos os acessos recentes aos repositórios de software Okta hospedados pelo GitHub para entender o escopo da exposição, revisamos todas as confirmações recentes aos repositórios de software Okta hospedados no GitHub para validar a integridade de nosso código e mudamos as credenciais do GitHub”, disse Okta , acrescentando que a aplicação da lei também foi notificada.
Matt Mullins, pesquisador sênior de segurança da empresa de segurança cibernética Cybrary, disse Strong The One em um e-mail que a violação do GitHub da Okta é apenas o exemplo mais recente de cibercriminosos visando desenvolvedores e códigos ao se moverem para procurar possíveis vítimas em ataques à cadeia de suprimentos.
“Obter acesso a esses sistemas dá a um APT [advanced persistent threat] grupo o benefício de ter ‘acesso antecipado’ aos seus alvos e vulnerabilidades de pesquisa (como falhas óbvias no código), segredos (como credenciais codificadas em scripts) ou configurações incorretas (como antipadrões óbvios em configurações)”, disse Mullins .
Ele acrescentou que, com serviços como o da Okta sendo tão importantes para as empresas, “não deveria ser chocante que os invasores continuem a visar o provedor de ‘segurança’. Quem vigia os vigias?”
Okta tem sido alvo de meliantes este ano. Em janeiro a empresa foi atacado pelo grupo de extorsão Lapsus$ de alto perfil, que conseguiu acessar os sistemas internos da Okta após obter acesso por meio da estação de trabalho de um trabalhador. As autoridades no final do ano disseram essencialmente que o ataque teria sido muito pior se não tivesse implementado um confiança zero política.
Em agosto, a empresa de cibersegurança Group-IB identificado uma campanha massiva de phishing que começou em março e foi apelidada de Oktapus. Foi destinado a roubando Credenciais de identidade Okta e códigos de autenticação de dois fatores (2FA) de usuários em mais de 130 organizações-alvo – incluindo Twilio e Cloudflare – e depois atacando seus clientes.
Em setembro, a Auth0 – que opera como empresa independente – disse que havia um “evento de segurança“envolvendo repositórios pertencentes a códigos de outubro de 2020 e anteriores, antes da aquisição da Okta. No entanto, a empresa disse que não havia evidências de que seu ambiente ou de clientes tivesse sido acessado, que dados tivessem sido roubados ou que houvesse bandidos em seus sistemas. ®
.
