攻擊者從Okta的GitHub存儲庫中竊取源代碼

本月初，微軟旗下的GitHub向Okta發出警告，稱其代碼庫存在 "可疑的訪問"，并確定不法分子復制了與該公司的Workforce Identity Cloud（WIC）相關的代碼，WIC是一個面向企業的訪問和身份管理工具，該工具可以使員工和合作伙伴能夠在任何地方工作。

該公司在本周的一份聲明中說，其調查發現WIC服務本身并沒有被破壞，也沒有發生客戶數據被未授權訪問，這些數據包括HIPAA、FedRAMP或國防部客戶的數據。

此外，Okta表示，它并不需要源代碼的保密性來保證其服務的安全性，所以它仍然可以安全的運行。

官員們還說，該漏洞并沒有影響到Auth0或Okta的消費者和軟件即服務（SaaS）應用的客戶身份云信息。Okta去年以65億美元的價格收購了Auth0，這筆交易將兩家備受矚目的身份和訪問管理（AIM）供應商結合在了一起。

在得知發現了可疑的訪問后，該供應商暫時限制了對Okta的GitHub存儲庫的訪問權限，并暫停GitHub與第三方應用程序的集成。

Okta說，此后，我們審查了最近對GitHub托管的Okta軟件庫的所有訪問記錄，調查信息泄露的范圍，而且審查了最近對GitHub托管的Okta軟件庫的所有提交，驗證我們代碼的完整性，并輪換了GitHub憑證，而且也通知了執法機構。

網絡安全公司Cybrary的高級安全研究員Matt Mullins在一封電子郵件中告訴媒體，Okta的GitHub漏洞也只是網絡犯罪分子在供應鏈攻擊中向上游移動尋找潛在受害者時針對開發人員和代碼進行攻擊的最新例子。

Mullins說，進入這些系統給APT[高級持續性威脅]集團帶來的好處是可以提前發現他們的目標并研究漏洞（如代碼中明顯的漏洞）、秘鑰（如腳本中的硬編碼信條）或其他錯誤的配置（如配置中的明文模式）。

他補充說，由于像Okta這樣的服務對企業是如此的重要，攻擊者將繼續以'安全'供應商為目標進行攻擊，這很令人震驚。那么企業的安全誰來負責？

今年以來，Okta已經成為不法分子的攻擊目標。今年1月，該公司遭到了高調的Lapsus$勒索集團的攻擊，該集團在通過內部員工的工作站獲得訪問權后，得以進入Okta的內部系統。官員們在今年晚些時候猜想說，如果沒有實施零信任政策，這次攻擊造成的后果可能會更糟糕。

8月，網絡安全公司Group-IB發現了一場始于3月份的大規模網絡釣魚活動，被稱為Oktapus。該攻擊活動旨在竊取130多個目標組織（包括Twilio和Cloudflare）用戶的Okta身份憑證和雙因素認證（2FA）代碼，然后攻擊其組織內的客戶。

9月，Auth0作為一家獨立的運營公司，對外稱最近發生了一個 "安全事件"，該案件涉及到2020年10月Okta收購前的代碼相關的存儲庫。然而，該公司也表示，目前沒有證據表明其環境或客戶的環境被惡意訪問，數據被盜，或其系統中存在內鬼。