整理 | 鄭麗媛
古往今來,向來是「樹大招風」——這個詞來形容國際身份驗證龍頭廠商 Okta 今年頻繁被駭客入侵的遭遇,或許再合適不過。
今年 3 月,曾黑入 Nvidia、三星等知名公司的駭客組織 Lapsus$ 聲稱,它可以訪問 Okta 的管理控制檯和客戶資料,還在 Telegram 上發佈了其盜取資料的截圖為證。隨後,Okta 承認駭客攻擊可能會影響其 2.5% 的客戶。
當時,Okta 的客戶數超過 15000 個,包括西門子、聯邦快遞、T-Mobile、馬自達等企業,2.5% 即意味著約有 375 個組織可能存在安全隱患。好在,Okta 又在 4 月澄清說,駭客攻擊只在 1 月份持續了 25 分鐘,最終也只有 2 個客戶確實受到了影響。
可好景不長,今年 8 月又有第三方通知 Okta,稱其擁有 2020 年 10 月及更早的 Auth0 程式碼庫副本(Okta 於 2021 年 3 月以 65 億美元收購了 Auth0),即 Auth0 部分源程式碼儲存庫已經洩露。不過後來經調查,並未發現什麼實質性影響。
結果,好不容易步入 2022 年的尾聲,據外媒 BleepingComputer 報道,本月 Okta 「又雙叒」被黑了,這次遭殃的是它的私有 GitHub 儲存庫。
目前對所有客戶都沒有影響
上週,Okta 首席安全官 David Bradbury 向客戶發佈了一份「秘密」安全通知,其中講到:「2022 年 12 月初,GitHub 向 Okta 發出警告,稱 Okta 程式碼庫遭到了可疑訪問。經過調查,我們發現這種非法訪問被用來複制 Okta 程式碼儲存庫。」
據 BleepingComputer 調查核實,已確認除了客戶之外,多個來源(包括 IT 管理員)也收到了這封郵件。從郵件透露的訊息可以看出,本次源程式碼洩露事件主要與 Okta 的勞動力身份雲(WIC)程式碼庫有關,跟 8 月就曾洩露的 Auth0 程式碼庫無關。
得知其私有 GitHub 儲存庫存在可疑訪問,Okta 方面立即對其儲存庫設置了臨時訪問限制,並暫停了所有 GitHub 與第三方應用程序的集成。緊接著,Okta 便開始著手審查近期對其 GitHub 儲存庫的所有訪問記錄和提交記錄,在掌握洩露範圍的同時,驗證其源程式碼的完整性,還更改了 GitHub 憑據並通知了相關執法部門。除此之外,Okta 還採取了一定措施確保洩露的程式碼無法用於訪問公司和客戶資料。
因此,雖然程式碼庫遭到洩露,但 Okta 表示目前攻擊者尚未對 Okta 服務或客戶資料進行未經授權的訪問,同時 Okta 也並不完全依賴源程式碼來保證其服務的安全性。於是在郵件開頭,Okta 便強調:「這對所有客戶都沒有影響,包括 HIPAA、FedRAMP 和國防部客戶,不需要客戶們採取任何行動。Oktas 服務仍在正常運行並保證安全。」
至於為什麼沒有負面影響仍發送這封郵件通知,Okta 解釋:「我們決定分享這一資訊,因為要符合我們對透明度和與客戶合作的承諾。」
「Okta 被開源了?」
身為全球 IAM(Identity and Access Management,身份識別與訪問管理)龍頭,今年 Okta 的頻繁被黑,令網友們都感到頗為無奈了,往好處看可能是這些事件至今還未造成什麼大範圍影響。
而對於此次 Okta 私有 GitHub 儲存庫洩露,部分網友卻並不樂觀:「值得注意的是,洩露源程式碼本身並不是一個安全漏洞。如果沒有其他安全漏洞,那麼程式碼就不可利用。可是,這些程式碼也可能會讓駭客找到其他預先存在的安全問題。」
還有一些人調侃道,Okta 變成「開源」的了:「現在,Okta 是開源的」,「準確來說,是被開源的」。
參考連結:
https://www.bleepingcomputer.com/news/security/oktas-source-code-stolen-after-github-repositories-hacked/
https://www.reddit.com/r/technology/comments/zreqb3/oktas_source_code_stolen_after_github/
