Okta, una compañía que proporciona servicios de gestión de identidad y acceso reveló el miércoles que algunos de sus repositorios de código fuente fueron accedidos de manera no autorizada a principios de este mes.
“No hay impacto para ningún cliente, incluidos los clientes de HIPAA, FedRAMP o DoD”, dijo la compañía en un comunicado público. “Los clientes no requieren ninguna acción”.
El evento de seguridad, que fue reportado por primera vez por Bleeping Computer, involucró a actores de amenazas no identificados que obtuvieron acceso a los repositorios de código de Okta Workforce Identity Cloud (WIC) alojados en GitHub. Posteriormente se abusó del acceso para copiar el código fuente.
La plataforma de gestión de identidades basada en la nube señaló que fue alertada del incidente por GitHub, propiedad de Microsoft, a principios de diciembre de 2022. También enfatizó que la violación no resultó en un acceso no autorizado a los datos del cliente o al servicio Okta.
Al descubrir el lapso, Okta dijo que impuso restricciones temporales al acceso al repositorio y que suspendió todas las integraciones de GitHub con otras aplicaciones de terceros.
La firma con sede en San Francisco dijo además que revisó los repositorios a los que accedieron los intrusos y examinó los recientes compromisos de código para asegurarse de que no se realizaran cambios inapropiados. También ha rotado las credenciales de GitHub e informado a la policía sobre el desarrollo.
“Okta no confía en la confidencialidad de su código fuente para la seguridad de sus servicios”, señaló la compañía.
La alerta se produce casi tres meses después de que Auth0, que Okta adquirió en 2021, revelara un “evento de seguridad” relacionado con algunos de sus archivos de repositorio de código de 2020 y anteriores.
Okta se ha convertido en un objetivo atractivo para los atacantes desde principios de año. El grupo de extorsión de datos LAPSUS$ irrumpió en los sistemas internos de la compañía en enero de 2022 después de obtener acceso remoto a una estación de trabajo perteneciente a un ingeniero de soporte.
Luego, en agosto de 2022, Group-IB descubrió una campaña llamada 0ktapus dirigida a varias compañías, incluidas Twilio y Cloudflare, que fue diseñada para robar las credenciales de identidad Okta de los usuarios y los códigos de autenticación de dos factores (2FA).
