Een gelekte memo wijst uit dat broncode van securitybedrijf Okta door een of meerdere niet-gemachtigde gebruikers is gestolen. De organisatie beweert dat het lek geen invloed heeft op klanten.

BleepingComputer verkreeg de interne memo van een anonieme bron. In het bericht legt Okta CSO David Bradbury uit dat een of meerdere niet-gemachtigde gebruikers in begin december kopieën maakten van broncode in GitHub repositories.

Okta ontwikkelt securityproducten voor authenticatie, waaronder single sign-on en tweestapsverificatie. De memo bevestigt niet welke broncode er precies is gestolen, maar Bradbury suggereert dat het om meerdere producten gaat. De geheimhouding van broncode is belangrijk voor de veiligheid van applicaties. Inzage helpt cybercriminelen bij het ontwikkelen van exploits.

In de broncode van sommige applicaties slingeren wachtwoorden en persoonsgegevens rond. Naar eigen zeggen heeft Okta “stappen ondernomen” om te voorkomen dat de broncode toegang geeft tot de informatie van klanten. Volgens de CSO wees intern onderzoek uit dat er geen toegang is verkregen tot klantengegevens en diensten.

In het slot van de memo belooft Okta vandaag een blog te publiceren over het incident. Op het moment van schrijven toont de perspagina van het bedrijf nog geen bericht, maar dat kan in de komende uren veranderen. BleepingComputer nam contact op voor commentaar, maar Okta gaf aanvankelijk geen reactie.

Oorzaak

Okta slaat broncode op in GitHub repositories. GitHub gebruikt monitoringtechnologie om gebruikers te informeren over verdachte toegang tot repositories. Okta werd in begin december door GitHub gealarmeerd. Nader onderzoek bevestigde dat er broncode was gekopieerd.

De eerste reactie van Okta was een blokkade op alle GitHub-integraties met third-party apps en een beperking van gebruikerstoegang tot GitHub repositories. Dit suggereert dat het datalek werd veroorzaakt door een third-party app of een interne gebruiker. De oorzaak is op het moment van schrijven niet door Okta bevestigd.

Okta

De organisatie heeft een moeilijk jaar achter de rug. Dochterbedrijf Auth0 maakte in september een vergelijkbaar incident bekend. Daarnaast beweerde misdaadgroep Lapsus$ in maart toegang te hebben tot interne applicaties en klantengegevens van Okta.

Het securitybedrijf bleek sinds januari van de inbraak op de hoogte. Okta had het incident verzwegen totdat Lapsus$ naar buiten trad.

“Ik wil heel duidelijk zijn: wij zijn verantwoordelijk”, zei CEO Todd McKinnon naderhand in een verontschuldiging. “Geen derde partij dit, of derde partij dat. Het is onze verantwoordelijkheid om ervoor te zorgen dat dit niet gebeurt. We zijn een vertrouwd merk. Dat vertrouwen is geschaad.”

Tip: De snelle opkomst en (waarschijnlijke) ondergang van Lapsus$