Kimlik ve erişim yönetimi hizmetleri sağlayan bir şirket olan Okta, Çarşamba günü, bu ayın başlarında bazı kaynak kod depolarına yetkisiz bir şekilde erişildiğini açıkladı.
Şirketten yapılan açıklamada, “HIPAA, FedRAMP veya DoD müşterileri de dahil olmak üzere hiçbir müşteri üzerinde bir etkisi yok” dedi. “Müşteriler tarafından herhangi bir işlem yapılmasına gerek yoktur.”
İlk olarak Bleeping Computer tarafından bildirilen güvenlik olayı, tanımlanamayan tehdit aktörlerinin GitHub’da barındırılan Okta Workforce Identity Cloud (WIC) kod havuzlarına erişim kazanmasını içeriyordu. Erişim daha sonra kaynak kodunu kopyalamak için kötüye kullanıldı.
Bulut tabanlı kimlik yönetimi platformu, olayla ilgili Microsoft’a ait GitHub tarafından Aralık 2022’nin başlarında uyarıldığını kaydetti. Ayrıca, ihlalin müşteri verilerine veya Okta hizmetine yetkisiz erişimle sonuçlanmadığını vurguladı.
Atlamayı keşfettikten sonra Okta, havuz erişimine geçici kısıtlamalar getirdiğini ve diğer üçüncü taraf uygulamalarla tüm GitHub entegrasyonlarını askıya aldığını söyledi.
San Francisco merkezli şirket ayrıca, davetsiz misafirler tarafından erişilen depoları incelediğini ve uygunsuz değişiklik yapılmadığından emin olmak için son kod taahhütlerini incelediğini söyledi. Ayrıca GitHub kimlik bilgilerini döndürdü ve geliştirme hakkında kolluk kuvvetlerine bilgi verdi.
Şirket, “Okta, hizmetlerinin güvenliği için kaynak kodunun gizliliğine güvenmiyor” dedi.
Uyarı, Okta’nın 2021’de satın aldığı Auth0’ın 2020 ve öncesindeki bazı kod deposu arşivleriyle ilgili bir “güvenlik olayı” ortaya çıkarmasından yaklaşık üç ay sonra gelir.
Okta, yılın başından beri saldırganlar için cazip bir hedef haline geldi. LAPSUS$ veri gasp grubu, bir destek mühendisine ait bir iş istasyonuna uzaktan erişim sağladıktan sonra Ocak 2022’de şirketin dahili sistemlerine girdi.
Ardından, Ağustos 2022’de Group-IB, kullanıcıların Okta kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak için tasarlanmış, Twilio ve Cloudflare dahil olmak üzere bir dizi şirketi hedefleyen 0ktapus adlı bir kampanyayı ortaya çıkardı.