¿La fuga del código fuente de Okta afectó su información personal? Lea nuestro escrito al respecto para obtener más información al respecto.
La firma estadounidense de administración de acceso e identidad Okta, Inc. tiene su sede en San Francisco. Ofrece software en la nube que ayuda a las empresas a gestionar y asegurar la autenticación de usuarios en las aplicaciones y permite a los desarrolladores incorporar la gestión de identidades en el software, los servicios web y el hardware.
Okta, un conocido proveedor de sistemas de administración de acceso e identidad (IAM), informa sobre la piratería de este mes de su repositorio privado de GitHub.
La fuga del código fuente de Okta no provocó pérdidas de datos del cliente
GitHub había informado a principios de este mes a Okta sobre un acceso inusual a los repositorios de desarrollo de Okta.
“Tras la investigación, hemos concluido que dicho acceso se utilizó para copiar los repositorios de códigos de Okta”, se dirige el director de seguridad de la empresa, David Bradbury, a los representantes de prensa en el correo electrónico que la empresa ha enviado para ser transparente.
A pesar de robar el código fuente de Okta, la empresa afirma que los atacantes no tuvieron acceso ilegal al servicio de Okta ni a los datos del usuario. Dado que Okta “no confía en el secreto de su código fuente como un medio para asegurar sus servicios”, sus “clientes de HIPAA, FedRAMP o DoD” no se ven afectados. Como resultado, no se requiere ninguna acción del cliente.
Okta publicó una publicación de blog sobre la situación actual de los repositorios de código que decía:
”Nuestra investigación concluyó que no hubo acceso no autorizado al servicio de Okta ni acceso no autorizado a los datos del cliente. Okta no confía en la confidencialidad de su código fuente para la seguridad de sus servicios. El servicio Okta permanece completamente operativo y seguro. Tan pronto como Okta se enteró del posible acceso sospechoso, impusimos rápidamente restricciones temporales en el acceso a los repositorios de Okta GitHub y suspendimos todas las integraciones de GitHub con aplicaciones de terceros”.
“Desde entonces, hemos revisado todos los accesos recientes a los repositorios de software de Okta alojados en GitHub para comprender el alcance de la exposición, revisamos todas las confirmaciones recientes a los repositorios de software de Okta alojados en GitHub para validar la integridad de nuestro código y rotamos las credenciales de GitHub. También hemos notificado a la policía. Hemos decidido compartir esta información de acuerdo con nuestro compromiso de transparencia y colaboración con nuestros clientes”.
– Okta
Esta no es la primera fuga de código fuente de Okta que vemos este año
Okta ha tenido un año desafiante debido a una serie de problemas de seguridad.
Auth0, propiedad de Okta, descubrió una situación similar en septiembre de este año. El proveedor del servicio de autenticación afirma que un “individuo externo” no identificado obtuvo repositorios de código fuente de Auth0 anteriores de su entorno. Sin embargo, los problemas de Okta comenzaron mucho antes, durante la conmoción que siguió a la revelación de su incumplimiento en enero.
La organización de extorsión material Lapsus$ comenzó a compartir capturas de pantalla de los datos robados en Telegram en marzo de este año, alegando tener acceso a las consolas administrativas y datos de clientes de Okta. Okta respondió inicialmente que estaba investigando estas afirmaciones, pero pronto admitió que el ataque en cuestión había ocurrido a fines de enero de 2022 y podría haber afectado al 2,5 por ciento de sus usuarios. Dado que Okta tenía más de 15 000 clientes en ese momento, al principio se creía que este número rondaba las 375 empresas.
La semana siguiente, Okta reconoció que había “cometido un error” al demorar la divulgación de este ataque, que según la empresa había sido llevado a cabo por un contratista externo llamado Sitel (Sykes).
Okta reveló en abril que la brecha de enero había durado 25 minutos seguidos y que el impacto fue mucho menor de lo que se pensaba inicialmente, ya que se limitó a solo dos clientes.
Nuestra noticia sobre la fuga del código fuente de Okta termina aquí. Aunque la empresa ha tenido problemas con los ataques este año, no se preocupe por la seguridad de sus datos personales por ahora. Para leer nuestras noticias anteriores sobre el hackeo de Okta, le recomendamos que eche un vistazo a nuestro artículo titulado Lapsus Okta hack: T-Mobile, FCC y miles de empresas en alerta máxima.
Source: Fuga de código fuente de Okta: ¿Están seguros sus datos personales?
