Okta のソース コードの漏洩は個人情報に影響を及ぼしましたか? 詳細については、私たちの記事をお読みください。

米国の ID およびアクセス管理会社 Okta, Inc. は、サンフランシスコに本社を置いています。 これは、企業がユーザー認証をアプリケーションに管理および保護するのを支援し、開発者が ID 管理をソフトウェア、Web サービス、およびハードウェアに組み込むことを可能にするクラウド ソフトウェアを提供します。

ID およびアクセス管理 (IAM) システムの有名なサプライヤである Okta は、今月、プライベート GitHub リポジトリがハッキングされたと報告しています。

You Might Also Like
オレゴン州は部品のペアリングにこれ以上言及しない
オレゴン州は部品のペアリングにこれ以上言及しない
サムスンのデータ侵害により、顧客の名前、誕生日などが明らかになりました
サムスンのデータ侵害により、顧客の名前、誕生日などが明らかになりました
Google、パーソナル インテリジェンス機能を米国のすべてのユーザーに拡大
Google、パーソナル インテリジェンス機能を米国のすべてのユーザーに拡大
Okta のソースコードが流出
透明性を保つために会社が発表した Okta のソースコード リーク

Okta のソースコードが漏洩しても顧客データが失われることはありませんでした

GitHub は今月初め、Okta の開発リポジトリへの異常なアクセスについて Okta に通知しました。

「調査の結果、そのようなアクセスが Okta コード リポジトリのコピーに使用されたと結論付けました」と、同社の最高セキュリティ責任者である David Bradbury 氏は、透明性を確保するために同社が送信した電子メールで報道関係者に対応しています。

Okta のソース コードを盗んだにもかかわらず、Okta のサービスやユーザー データに攻撃者が不正にアクセスしたことはないと同社は主張しています。 Okta は「サービスを保護する手段としてソース コードの機密性に依存していない」ため、「HIPAA、FedRAMP、または DoD の顧客」は影響を受けません。 その結果、クライアントのアクションは必要ありません。

Okta は、コード リポジトリの現在の状況に関するブログ投稿をリリースし、次のように述べています。

「私たちの調査では、Okta サービスへの不正アクセスはなく、顧客データへの不正アクセスもなかったと結論付けました。 Okta は、サービスのセキュリティについて、ソース コードの機密性に依存していません。 Okta サービスは引き続き完全に機能し、安全です。 Okta は疑わしいアクセスの可能性を認識した直後に、Okta GitHub リポジトリへのアクセスを一時的に制限し、サードパーティ アプリケーションとのすべての GitHub 統合を停止しました。」

「その後、GitHub がホストする Okta ソフトウェア リポジトリへの最近のすべてのアクセスを確認して公開の範囲を理解し、GitHub がホストする Okta ソフトウェア リポジトリへの最近のすべてのコミットを確認して、コードの整合性を検証し、GitHub 資格情報をローテーションしました。 また、法執行機関にも通知しました。 透明性とお客様とのパートナーシップへのコミットメントに沿って、この情報を共有することにしました。」

– オクタ

今年発生した Okta のソースコード漏洩はこれが初めてではありません

一連のセキュリティ問題により、Okta は困難な年を迎えました。

同様の状況は、今年 9 月に Okta が所有する Auth0 によって発見されました。 認証サービスのベンダーは、身元不明の「第三者の個人」がその環境から以前の Auth0 ソース コード リポジトリを入手したと主張しています。 しかし、Okta の問題は、1 月の侵害が明らかになった後の騒動の中で、ずっと前から始まっていました。

Okta のソースコードが流出
Okta のソースコードが漏洩しても、個人データには影響しません

物的恐喝組織 Lapsus$ は、盗まれたデータのスクリーンショットを今年 3 月に Telegram で共有し始め、Okta の管理コンソールとクライアント データにアクセスできると主張しました。 Okta は当初、これらの主張を調査していると回答しましたが、問題のハッキングが実際には 2022 年 1 月下旬に発生し、ユーザーの 2.5% に影響を与えた可能性があることをすぐに認めました。 当時、Okta には 15,000 を超える顧客がいたことを考えると、この数は最初は約 375 の企業であると考えられていました。

  WhatsAppを使用すると、Androidで送信するビデオの品質を選択できます

翌週、Okta は、この攻撃の開示を延期したことで「間違いを犯した」ことを認めました。この攻撃は、Sitel (Sykes) という名前のサードパーティの請負業者によって実行されたと同社は主張しています。

Okta は 4 月に、1 月の侵害が連続して 25 分間続き、影響は当初考えられていたよりもはるかに小さく、2 人の顧客に限定されていたことを明らかにしました。

Okta のソース コード リーク ニュースはここまでです。 同社は今年ハッキングでトラブルに見舞われましたが、今のところ個人データのセキュリティについて心配する必要はありません。 以前の Okta ハッキング ニュースを読むには、「Lapsus Okta hack: T-Mobile、FCC、および何千もの企業が警戒態勢にある」というタイトルの記事をご覧になることをお勧めします。

 

 

Source: Okta のソースコード漏洩: 個人データは安全ですか?