Okta, ein Unternehmen, das Identitäts- und Zugriffsmanagementdienste anbietet, gab am Mittwoch bekannt, dass auf einige seiner Quellcode-Repositorys Anfang des Monats unbefugt zugegriffen wurde.
„Es gibt keine Auswirkungen auf die Kunden, auch nicht auf HIPAA-, FedRAMP- oder DoD-Kunden“, erklärte das Unternehmen in einer öffentlichen Erklärung. „Für die Kunden besteht kein Handlungsbedarf.
Bei dem Sicherheitsvorfall, über den zuerst Bleeping Computer berichtete, verschafften sich unbekannte Angreifer Zugang zu den Okta Workforce Identity Cloud(WIC)-Code-Repositorys, die auf GitHub gehostet werden. Der Zugang wurde anschließend missbraucht, um den Quellcode zu kopieren.
Die Cloud-basierte Identitätsmanagement-Plattform teilte mit, dass sie Anfang Dezember 2022 von dem zu Microsoft gehörenden GitHub auf den Vorfall aufmerksam gemacht wurde. Sie betonte außerdem, dass der Verstoß nicht zu einem unbefugten Zugriff auf Kundendaten oder den Okta-Dienst führte.
Als Okta den Vorfall entdeckte, gab es an, den Zugriff auf das Repository vorübergehend einzuschränken und alle GitHub-Integrationen mit anderen Drittanwendungen auszusetzen.
Das Unternehmen mit Hauptsitz in San Francisco erklärte obendrein, dass es die Repositories, auf die die Eindringlinge Zugriff hatten, überprüft und die jüngsten Code-Commits untersucht hat, um sicherzustellen, dass keine unzulässigen Änderungen vorgenommen wurden. Zudem hat Okta die GitHub-Anmeldedaten ausgetauscht und die Strafverfolgungsbehörden über die Entwicklung informiert.
„Okta verlässt sich bei der Sicherheit seiner Dienste nicht auf die Vertraulichkeit des Quellcodes“, so das Unternehmen.
Die Warnung kommt fast drei Monate nachdem Auth0, das Okta 2021 übernommen hat, ein „Sicherheitsereignis“ in Bezug auf einige seiner Code-Repository-Archive aus dem Jahr 2020 und früher bekannt gegeben hat.
Okta hat sich seit Anfang des Jahres als attraktives Ziel für Angreifer erwiesen. Die Datenerpressergruppe LAPSUS$ brach im Januar 2022 in die internen Systeme des Unternehmens ein, nachdem sie sich Fernzugriff auf den Arbeitsplatz eines Support-Ingenieurs verschafft hatte.
Im August 2022 deckte Group-IB eine Kampagne mit dem Namen 0ktapus auf, die es auf eine Reihe von Unternehmen abgesehen hatte, darunter Twilio und Cloudflare, und die darauf abzielte, die Okta-Identitätsdaten und die Codes für die Zwei-Faktor-Authentifizierung (2FA) der Nutzer zu stehlen.