在 2022 年 3 月 22 日 08:43 UTC,我们发现了影响 Okta 的问题,Okta 是 Percona 用于https://id.percona.com的第三方身份提供商。最初,Okta 没有发表任何声明,因此我们的安全运营团队审查了从 LAPSUS$ 和其他公共来源获得的信息。
根据有关该问题的公开信息,我们评估了 Percona 的潜在风险,并确定影响很小。Percona 使用 Okta 集成,因此 https://id.percona.com 可用于针对 Percona 的以下部署进行身份验证:
- forums.percona.com(话语)
- percona.service-now.com (ServiceNow)
- portal.percona.com(用户和客户可以添加他们的 PMM 集成的仪表板门户界面)。
PMM与 Percona 门户的集成目前不允许从 portal.percona.com 界面进行管理(阅读:不得向 PMM 服务器发出任何命令)。
在撰写本文时,Percona 意识到,泄露的级别允许 LAPSUS$ 访问以强制重置个人用户的密码和 MFA 机密。Okta 发布的信息指出,密码无法被发现,并表示只有 2.5% 的 Okta 客户受到影响。
2022-03-24 20:04 GMT/UTC Percona 收到 Okta 没有影响的通知。
虽然通知指出 Percona 没有受到影响,但我们强烈敦促https://id.percona.com的用户遵循最佳做法,确保他们使用不与其他平台共享的完全唯一的密码更新他们的密码,足够复杂和长度,并尽可能部署 2FA/MFA。
尽管对 Percona 的影响很小,但我们已采取行动进一步加强使用 Okta 进行身份管理服务的 Percona 服务和项目。安全运营团队将继续监控公共信息和 Okta 的响应,因为它变得可用。如有必要,我们将进一步评估需要采取的其他安全措施和替代身份管理提供商。
Percona 的客户和用户的安全是我们安全运营团队价值观的核心,并将继续成为我们的核心关注点。这意味着我们将始终努力确保我们选择的第三方供应商引入最小的可行风险。但是,当服务提供商给我们的客户带来风险,并且服务提供商没有及时做出回应时,我们会努力确保我们正在探索所提供信息的所有方面,以得出我们自己的结论并加强我们的安全态势。
文章来源:https://www.percona.com/blog/2022/03/25/okta-perconas-statement/
