Vulnerabilidad en Okta permitía acceso sin contraseña a cuentas con nombres largos
En un nuevo aviso de seguridad, Okta reveló que su sistema tenía una vulnerabilidad que permitía a las personas iniciar sesión en una cuenta sin tener que proporcionar la contraseña correcta. Okta omitió la autenticación de contraseña si la cuenta tenía un nombre de usuario de 52 caracteres o más. Además, su sistema tenía que detectar una «clave de caché almacenada» de un inicio de sesión exitoso anterior, lo que significa que el propietario de la cuenta debía tener un historial de inicio de sesión anterior utilizando ese navegador. Tampoco afectó a las organizaciones que requieren autenticación multifactor, según el aviso que la empresa envió a sus usuarios.
Sin embargo, un nombre de usuario de 52 caracteres es más fácil de adivinar que una contraseña aleatoria; podría ser tan simple como que la dirección de correo electrónico de una persona tenga su nombre completo junto con el dominio de su sitio web y su organización. La compañía admitió que la vulnerabilidad se introdujo como parte de una actualización estándar que se lanzó el 23 de julio de 2024 y que no descubrió (y solucionó) el problema hasta el 30 de octubre. Ahora aconseja a los clientes que cumplen con todas las condiciones de la vulnerabilidad que verifiquen su registro de acceso de los últimos meses.
Okta proporciona software que facilita a las empresas agregar servicios de autenticación a su aplicación. Para organizaciones con múltiples aplicaciones, brinda a los usuarios acceso a un inicio de sesión unificado único para que no tengan que verificar sus identidades para cada aplicación. La compañía no dijo si conocía a alguien afectado por este problema específico, pero prometió «comunicarse más rápidamente con los clientes» en el pasado después de que el grupo de amenazas Lapsus$ accediera a algunas cuentas de usuarios.
FUENTE