okta

認証サービスと ID およびアクセス管理 (IAM) ソリューションの大手プロバイダーである Okta は、プライベート GitHub ソースコード リポジトリが今月ハッキングされたと述べています。

Okta が送信し が確認した「機密」メール通知によると、このセキュリティ インシデントには、攻撃者が Okta のソース コードを盗むことが含まれています。

ソースコードが盗まれても顧客データは影響を受けない

は、Okta が数時間前に「セキュリティ連絡先」に電子メールで送信した「機密」セキュリティ インシデント通知を取得しました。 IT 管理者を含む複数のソースがこのメール通知を受け取っていることを確認しました。

今月初め、GitHub は、Okta のコード リポジトリへの疑わしいアクセスについて Okta に警告し、通知を述べています。

同社の最高セキュリティ責任者 (CSO) である David Bradbury 氏は、電子メールで次のように述べています。

攻撃者は Okta のソース コードを盗んだにもかかわらず、Okta サービスや顧客データへの不正アクセスを取得しなかったと同社は述べています。 Okta の「HIPAA、FedRAMP、または DoD の顧客」は、同社が「サービスを保護する手段としてソース コードの機密性に依存していない」ため、影響を受けません。そのため、お客様のアクションは必要ありません。

2022 年 12 月に送信された Okta のセキュリティ インシデント メール
Okta は「セキュリティ連絡先」にセキュリティ通知を電子メールで送信します()

レポートの執筆時点では、このインシデントは Okta Workforce Identity Cloud (WIC) コード リポジトリに関連しているように見えますが、電子メールの文言から、Auth0 Customer Identity Cloud 製品には関連していないようです。

によって確認された、通知の残りの部分からの抜粋を以下に公開します。

Okta は疑わしいアクセスの可能性を認識した直後に、Okta GitHub リポジトリへのアクセスを一時的に制限し、サードパーティ製アプリケーションとのすべての GitHub 統合を停止しました。

それ以来、GitHub がホストする Okta ソフトウェア リポジトリへの最近のすべてのアクセスを確認して公開の範囲を理解し、GitHub がホストする Okta ソフトウェア リポジトリへの最近のすべてのコミットを確認してコードの整合性を検証し、GitHub 資格情報をローテーションしました。また、法執行機関にも通知しました。

さらに、このコードを使用して会社や顧客の環境にアクセスできないようにするための措置を講じています。 Okta は、この出来事の結果として、当社のビジネスやお客様へのサービス提供能力に何らかの混乱が生じるとは予想していません。

注: セキュリティ イベントは、Okta Workforce Identity Cloud (WIC) コード リポジトリに関連しています。 Auth0 (Customer Identity Cloud) 製品には関係ありません。

私たちは、透明性とお客様とのパートナーシップへの取り組みと一致して、この情報を共有することを決定しました。

Okta は、「透明性への取り組み」を約束する「極秘」メールの締めくくりとして、本日、ブログで声明を発表すると述べています。

公開前に Okta に問い合わせましたが、すぐには返信がありませんでした。

Okta のセキュリティ インシデント — 1 年を振り返って

Okta にとって、一連のセキュリティ インシデントとでこぼこしたセキュリティ開示により、今年は困難な年でした。

今年 9 月、Okta が所有する Auth0 が同様のインシデントを公開しました。認証サービス プロバイダーによると、古い Auth0 ソース コード リポジトリは、未知の手段を介してその環境から「第三者の個人」によって取得されました。しかし、Okta の問題は、1 月のハッキングの公開をめぐる不正行為のずっと前に始まりました。

今年 3 月、データ強要グループLapsus$ は、盗まれたデータのスクリーンショットを Telegram に投稿し始めたときに、Okta の管理コンソールと顧客データにアクセスできると主張しました

これらの主張を調査していると述べた後、Okta は、参照されているハッキングが実際には 2022 年 1 月下旬に発生し、顧客の 2.5% に影響を与えた可能性があることをすぐに認めました。この数字は、当時の Okta の 15,000 以上の顧客ベースを考えると、およそ 375 の組織であると推定されました。

同じ週、Okta は、サードパーティの請負業者である Sitel (Sykes) に端を発したこのハッキングの開示を遅らせたのは「過ちを犯した」ことを認めました。

4 月、Okta は、1 月の侵害が「連続 25 分間」続き、影響は当初の予想よりも大幅に小さく、 2 人の顧客に限定されていたことを明らかにしました。