Hackers copiam o código-fonte do repositório GitHub da Okta. Os invasores copiaram o código-fonte pertencente à Okta depois de violar os repositórios GitHub da empresa de gerenciamento de identidade.
A Okta foi alertada pelo GitHub, de propriedade da Microsoft, no início deste mês sobre “acesso suspeito” a seus repositórios de código e determinou que criminosos copiaram o código associado à Workforce Identity Cloud (WIC) da empresa, uma ferramenta de gerenciamento de identidade e acesso voltado para empresas para permitir que funcionários e parceiros para trabalhar de qualquer lugar.
A empresa disse em um comunicado nesta semana que sua investigação descobriu que não houve violação do serviço WIC em si ou acesso não autorizado aos dados do cliente, incluindo HIPAA, FedRAMP ou clientes do Departamento de Defesa.
Além disso, a Okta disse que não precisa que o código-fonte permaneça confidencial para proteger seus serviços, por isso ainda está operacional e seguro.
Hackers copiam o código-fonte do repositório GitHub da Okta
As autoridades também disseram que a violação não afetou o Auth0 e/ou o Customer Identity Cloud da Okta para aplicativos de consumidor e software como serviço (SaaS). A Okta comprou a Auth0 no ano passado por US$ 6,5 bilhões em um acordo que reuniu dois fornecedores de gerenciamento de identidade e acesso (AIM) de alto nível.
Depois de saber do acesso suspeito, o fornecedor restringiu temporariamente o acesso aos repositórios GitHub da Okta e suspendeu as integrações do GitHub com aplicativos de terceiros.
“Desde então, revisamos todos os acessos recentes aos repositórios de software Okta hospedados pelo GitHub para entender o escopo da exposição, revisamos todas as confirmações recentes aos repositórios de software Okta hospedados no GitHub para validar a integridade de nosso código e rotacionamos as credenciais do GitHub”, disse Okta , acrescentando que a aplicação da lei também foi notificada.
Desenvolvedores de código são novo alvo dos criminosos
Matt Mullins, pesquisador sênior da empresa de segurança cibernética Cybrary, disse que a violação do GitHub da Okta é apenas o exemplo mais recente de cibercriminosos visando desenvolvedores e códigos ao se moverem para procurar possíveis vítimas em ataques à cadeia de suprimentos.
“Obter acesso a esses sistemas dá a um grupo APT [ameaça persistente avançada] o benefício de ter ‘acesso antecipado’ a seus alvos e vulnerabilidades de pesquisa (como falhas óbvias no código), segredos (como credenciais codificadas em scripts) ou configurações incorretas (como antipadrões óbvios em configurações)”, disse Mullins.
Ele acrescentou que, com serviços como o da Okta sendo tão importantes para as empresas, “não deveria ser chocante que os invasores continuem a visar o provedor de ‘segurança’. Quem vigia os guardas?”
Okta tem sido alvo de ataques este ano
Em janeiro, a empresa foi atacada pelo famoso grupo de extorsão Lapsus$, que conseguiu acessar os sistemas internos da Okta após obter acesso por meio da estação de trabalho de um trabalhador. As autoridades no final do ano disseram essencialmente que o ataque teria sido muito pior se não tivesse implementado uma política de confiança zero.
Em agosto, a empresa de segurança cibernética Group-IB identificou uma campanha massiva de phishing que começou em março e foi apelidada de Oktapus. O objetivo era roubar credenciais de identidade Okta e códigos de autenticação de dois fatores (2FA) de usuários em mais de 130 organizações-alvo – incluindo Twilio e Cloudflare – e depois atacar seus clientes.
Em setembro, a Auth0 – que opera como empresa independente – disse que houve um “evento de segurança” envolvendo repositórios pertencentes a códigos de outubro de 2020 e anteriores, antes da aquisição da Okta. No entanto, a empresa disse que não há evidências de que seu ambiente ou de clientes tenha sido acessado, que dados tenham sido roubados ou que haja bandidos em seus sistemas.
