Luka w zabezpieczeniach logowania Okta pomijała sprawdzanie haseł
Okta, jeden z wiodących na świecie dostawców usług pojedynczego logowania i zarządzania tożsamością, ujawnił pod koniec października, że firma naprawiła błąd w swojej usłudze, który powodował potencjalnie poważne zagrożenie bezpieczeństwa poważne zagrożenie bezpieczeństwa. Zasadniczo błąd pomijał sprawdzanie hasła dla każdego konta z nazwą użytkownika dłuższą niż 52 znaki. Źli aktorzy mogli potencjalnie dostać się na te konta po prostu wpisując poprawną nazwę użytkownika, nawet jeśli podane przez nich hasło było błędne lub nawet nie istniało. Zakłada to oczywiście, że hasło jest jedynym zabezpieczeniem danego konta.
Błąd został wprowadzony w aktualizacji, która pojawiła się pod koniec lipca 2024 roku, a został zauważony i naprawiony około trzy miesiące później. Błąd nie był powszechnie zgłaszany, a jego zauważenie i usunięcie zajęło trochę czasu. Zdecydowana większość nazw użytkowników dla dowolnego portalu logowania ma zwykle mniej niż 52 znaki, chociaż niektóre, takie jak te, które zawierają czyjeś imię i nazwisko, a także firmową domenę e-mail, mogą przekroczyć ten limit. Luka polegała na tym, że uwierzytelnianie wieloskładnikowe nie było włączone i na szczęściu w losowaniu; logowania w tym przypadku były uwierzytelniane przez pamięć podręczną zaszyfrowanego klucza z poprzedniego udanego logowania. Oznaczało to, że jeśli próba logowania trafiła na główny serwer uwierzytelniania Okta przed załadowaniem pamięci podręcznej, miała szansę zostać przechwycona i zatrzymana.
Stosunkowo wąski zestaw okoliczności, które pozwoliłyby na wykorzystanie tego exploita, oznaczał, że jego potencjał do wywołania chaosu nie był duży, ale fakt, że przytrafiło się to firmie takiej jak Okta, jest wymowny. Zagrożenia bezpieczeństwa w wielu formach w dzisiejszym cyfrowym świecie i w związku z tym firma ostrzegła wszystkich użytkowników, dotkniętych lub nie, aby skonfigurowali uwierzytelnianie wieloskładnikowe wraz z wszelkimi istniejącymi zabezpieczeniami. Wiele usług logowania wymaga od użytkowników skonfigurowania pewnego rodzaju dodatkowej autoryzacji jako warunku utworzenia i weryfikacji nowego konta, co sprawia, że potencjalnie katastrofalny exploit, taki jak ten, jest czymś więcej niż tylko przestrogą dla przeciętnego użytkownika.