Dans une nouvelle recommandation de sécurité, Okta a annoncé que son système présentait une faille qui permettait à des personnes de se connecter à un compte sans avoir à saisir le bon mot de passe.
Okta contournait l'authentification par mot de passe lorsque le nom d'utilisateur du compte comportait 52 caractères ou plus. En outre, le système devait détecter une "clé en cache stockée" d'une authentification précédente réussie, ce qui signifie que le titulaire du compte devait s'être connecté précédemment avec ce navigateur. Les organisations qui exigent une authentification à facteurs multiples n'étaient pas concernées, selon le communiqué de l'entreprise à ses utilisateurs.
Cependant, un nom d'utilisateur de 52 caractères est plus facile à deviner qu'un mot de passe aléatoire - il pourrait s'agir de l'adresse électronique d'une personne, qui contient son nom complet ainsi que le domaine du site web de son organisation. L'entreprise a admis que la vulnérabilité a été introduite dans le cadre d'une mise à jour standard le 23 juillet 2024 et qu'elle n'a découvert (et corrigé) le problème que le 30 octobre. Elle recommande maintenant aux clients qui remplissent toutes les conditions de la vulnérabilité de vérifier leurs journaux d'accès des derniers mois.
Okta propose un logiciel qui facilite l'ajout par les entreprises de services d'authentification à leurs applications. Les organisations disposant de plusieurs applications peuvent permettre à leurs utilisateurs d'accéder à un système d'identification unique et unifié, ce qui leur évite de devoir vérifier leur identité pour chaque application individuellement. L'entreprise n'a pas indiqué si elle connaissait des personnes touchées par ce problème particulier, mais a promis de "communiquer plus rapidement avec les clients" après que le groupe de menace Lapsus$ a accédé aux comptes de certains utilisateurs.
