(こちらは Okta Security Breach Update の参考訳です)
2022 年 3 月 22 日、CircleCI は Lapsus$ グループによる Okta のセキュリティ侵害について認識しました。Okta は、サードパーティのサブプロセッサーを介して、Okta 利用顧客の 2.5% に影響を及ぼす侵害があったことを確認しました。CircleCI はこの侵害の影響を受けておらず、このことは Okta により確認されています。
CircleCI では、顧客アカウント用ではなく、社内従業員の ID・アクセス管理用に Okta を使用しています。ユーザーに対しては、 Okta の子会社となった Auth0 を使い、VCS プロバイダーのログイン認証情報の代わりに個人メールアドレスを使って CircleCI にアクセスできるようにしています。Auth0 はこの侵害による影響を受けていません。
弊社セキュリティチームは、最初にこの侵害について認識した際、アクセスログと Okta 管理設定の調査を行いました。そしてこの侵害に関する追加情報を待つ間に、CircleCI のシステムに対する不正なアクセスの試みはされていないことを確認しました。またこの調査の過程で、アカウントにおける不適切な変更が行われていないことも確認しました。
弊社では、引き続き本件に関する Okta および影響を受けた Okta 利用顧客から情報を注視し、必要に応じて最新情報を掲載します。