En un nuevo aviso de seguridad, Okta reveló que su sistema tenía una vulnerabilidad que permitía a las personas iniciar sesión en una cuenta sin tener que proporcionar la contraseña correcta. Okta omitió la autenticación de contraseña si la cuenta tenía un nombre de favorecido de 52 caracteres o más. Encima, su sistema tuvo que detectar una “esencia de distinción almacenada” de una autenticación antedicho exitosa, lo que significa que el propietario de la cuenta debía tener un historial previo de inicio de sesión utilizando ese navegador. Siquiera afectó a las organizaciones que requieren autenticación multifactor, según el aviso que la empresa envió a sus usuarios.
Aún así, un nombre de favorecido de 52 caracteres es más comprensible de adivinar que una contraseña aleatoria; podría ser tan simple como la dirección de correo electrónico de una persona que tiene su nombre completo adyacente con el dominio del sitio web de su estructura. La compañía admitió que la vulnerabilidad se introdujo como parte de una modernización unificado que salió el 23 de julio de 2024 y que no descubrió (y solucionó) el problema hasta el 30 de octubre. Ahora recomienda a los clientes que cumplan con todas las condiciones de la vulnerabilidad que consulte su registro de paso durante los últimos meses.
Okta proporciona software que facilita a las empresas amplificar servicios de autenticación a su aplicación. Para organizaciones con múltiples aplicaciones, brinda a los usuarios paso a un inicio de sesión único y unificado para que no tengan que revisar sus identidades para cada aplicación. La compañía no dijo si tiene conocimiento de cualquiera que haya sido afectado por este problema específico, pero prometió “comunicarse más rápidamente con los clientes” en el pasado a posteriori de que el montón de amenazas Lapsus$ accediera a las cuentas de un par de usuarios.