Oktaコードリポジトリに関するセキュリティ事象について

概要: 当社のコアバリューである透明性に沿って、Oktaのコードリポジトリに影響を与えた最近のセキュリティ事象に関する状況と詳細を共有します。HIPAA、FedRAMP、DoDのお客様を含め、あらゆるお客様への影響はございません。お客様による対応は必要ありません。

範囲：以下で述べるセキュリティ事象は、Okta Workforce Identity Cloud (WIC) コードリポジトリに関連するものです。Auth0 (Customer Identity Cloud) 製品には関連しておりません。

事象：2022年12月初旬、GitHubからOktaのコードリポジトリに不審なアクセスがあった可能性についてOktaに警告がありました。調査の結果、当該アクセスはOktaコードリポジトリのコピーに使用されたと結論づけました。

調査の結果、Oktaのサービスに対する不正アクセスはなく、顧客データに対する不正アクセスもなかったと結論づけました。Oktaは、サービスの安全性に関してソースコードの機密性に依存していません。Oktaのサービスは引き続き完全に稼働しており、セキュアです。 

Oktaは不審なアクセスの可能性があることを把握してから、速やかにOkta GitHubリポジトリへのアクセスを一時的に制限し、サードパーティアプリケーションとのGitHub統合をすべて停止しました。

その後、GitHubでホストされているOktaソフトウェアリポジトリへの最近のすべてのアクセスを検証してエクスポージャーの範囲を把握し、GitHubでホストされているOktaソフトウェアリポジトリへの最近のすべてのコミットを検証して当社コードの整合性を確認し、GitHub認証情報をローテーションしました。また、法執行機関にも通知しました。

透明性とお客様とのパートナーシップを重視し、この情報を共有しました。