Okta, une société qui fournit des services de gestion des identités et des accès, a révélé mercredi que certains de ses référentiels de code source avaient été consultés de manière non autorisée au début du mois.
« Il n’y a aucun impact sur les clients, y compris les clients HIPAA, FedRAMP ou DoD », a déclaré la société. m’a dit dans une déclaration publique. « Aucune action n’est requise de la part des clients. »
L’événement de sécurité, qui a été signalé pour la première fois par Bleeping Computer, impliquait des acteurs de la menace non identifiés accédant à Okta Workforce Identity Cloud (WIC) référentiels de code hébergés sur GitHub. L’accès a ensuite été abusé pour copier le code source.
La plate-forme de gestion des identités basée sur le cloud a indiqué qu’elle avait été alertée de l’incident par GitHub, propriété de Microsoft, début décembre 2022. Elle a également souligné que la violation n’avait pas entraîné d’accès non autorisé aux données des clients ou au service Okta.
Après avoir découvert la défaillance, Okta a déclaré qu’il avait imposé des restrictions temporaires sur l’accès au référentiel et qu’il avait suspendu toutes les intégrations GitHub avec d’autres applications tierces.
La société basée à San Francisco a en outre déclaré qu’elle avait examiné les référentiels auxquels les intrus avaient accédé et examiné les récents engagements de code pour s’assurer qu’aucune modification inappropriée n’avait été apportée. Il a également fait tourner les informations d’identification GitHub et informé les forces de l’ordre du développement.
« Okta ne compte pas sur la confidentialité de son code source pour la sécurité de ses services », a noté la société.
L’alerte intervient près de trois mois après Auth0, qu’Okta a acquis en 2021, révélé un « événement de sécurité » concernant certaines de ses archives de référentiel de code de 2020 et antérieures.
Okta est devenu une cible attrayante pour les attaquants depuis le début de l’année. Le groupe d’extorsion de données LAPSUS$ a fait irruption dans les systèmes internes de l’entreprise en janvier 2022 après avoir obtenu un accès à distance à un poste de travail appartenant à un ingénieur de support.
Puis, en août 2022, Group-IB a mis au jour une campagne baptisée 0ktapus ciblant un certain nombre d’entreprises, dont Twilio et Cloudflare, qui a été conçue pour voler les identifiants d’identité Okta des utilisateurs et les codes d’authentification à deux facteurs (2FA).