Le fournisseur d’authentification unique Okta a déclaré mercredi que le code logiciel de son service Okta Workforce Identity Cloud avait été copié après que des intrus aient eu accès au référentiel privé de l’entreprise sur GitHub.
« Notre enquête a conclu qu’il n’y avait pas d’accès non autorisé au service Okta, ni d’accès non autorisé aux données des clients », ont déclaré les responsables de l’entreprise dans un communiqué. « Okta ne compte pas sur la confidentialité de son code source pour la sécurité de ses services. Le service Okta reste pleinement opérationnel et sécurisé.
La déclaration indique que le code source copié ne concerne que l’Okta Workforce Identity Cloud et ne concerne aucun produit Auth0 utilisé avec le Customer Identity Cloud de l’entreprise. Les responsables ont également déclaré qu’après avoir appris la violation, Okta avait imposé des restrictions temporaires sur l’accès aux référentiels GitHub de l’entreprise et suspendu les intégrations GitHub avec des applications tierces.
« Depuis, nous avons examiné tous les accès récents aux référentiels de logiciels Okta hébergés par GitHub pour comprendre l’étendue de l’exposition, examiné tous les engagements récents sur les référentiels de logiciels Okta hébergés avec GitHub pour valider l’intégrité de notre code et fait pivoter les informations d’identification GitHub », indique le communiqué. ajoutée. « Nous avons également prévenu les forces de l’ordre. »
Okta Workforce Identity Cloud fournit la gestion des accès, la gouvernance et les contrôles d’accès privilégiés dans un seul package. De nombreuses grandes organisations gèrent ces choses au coup par coup en utilisant des processus manuels. Le service, introduit par Okta le mois dernier, est conçu pour unifier et automatiser ces processus.
En mars dernier, le groupe de rançongiciels Lapsus$ a publié des images qui semblaient montrer qu’il avait obtenu des données propriétaires d’Okta et de Microsoft. Les responsables d’Okta ont déclaré que les données avaient été obtenues après que l’auteur de la menace eut obtenu un accès non autorisé au compte d’un « ingénieur de support client tiers travaillant pour l’un de nos sous-traitants ».
La société a déclaré que la tentative de violation d’Okta avait échoué et que l’accès des pirates au compte tiers ne leur permettait pas de créer ou de supprimer des utilisateurs, de télécharger des bases de données clients ou d’obtenir des données de mot de passe. Les membres de Lapsus$ ont réfuté cette affirmation et ont noté que les captures d’écran indiquaient qu’ils s’étaient connectés au portail de superutilisateur, un statut qui, selon eux, leur donnait la possibilité de réinitialiser les mots de passe et les identifiants d’authentification multifacteur de 95 des clients d’Okta.
En août, Okta a déclaré que des pirates qui avaient récemment violé le fournisseur de sécurité Twilio avaient utilisé leur accès pour obtenir des informations appartenant à un nombre indéterminé de clients d’Okta. Twilio a révélé la violation trois semaines plus tôt et a déclaré qu’elle avait permis à l’acteur de la menace d’obtenir des données pour 163 clients. Okta a déclaré que l’acteur de la menace pourrait obtenir des numéros de téléphone mobile et des messages SMS associés contenant les mots de passe à usage unique de certains de ses clients.
En septembre, Okta a révélé que les référentiels de code pour Auth0, une société acquise en 2021, avaient également été consultés sans autorisation.
La divulgation mercredi de la copie du code source d’Okta a été signalée pour la première fois par Bleeping Computer.