In un nuovo avviso di sicurezza, Okta ha annunciato che il suo sistema presenta una vulnerabilità che consente di accedere a un account senza dover inserire la password corretta.
Okta bypassava l'autenticazione con password se il nome utente dell'account era composto da 52 o più caratteri. Inoltre, il sistema doveva riconoscere una "chiave di cache memorizzata" da una precedente autenticazione andata a buon fine, il che significa che il titolare dell'account doveva aver effettuato l'accesso con questo browser. Le organizzazioni che richiedono l'autenticazione a più fattori non sono state colpite, secondo quanto comunicato dall'azienda ai suoi utenti.
Tuttavia, un nome utente di 52 caratteri è più facile da indovinare rispetto a una password casuale: potrebbe essere l'indirizzo e-mail di una persona contenente il suo nome completo insieme al dominio del sito web della sua organizzazione. L'azienda ha ammesso che la vulnerabilità è stata introdotta come parte di un aggiornamento standard il 23 luglio 2024 e che ha scoperto (e risolto) il problema solo il 30 ottobre. Ora raccomanda ai clienti che soddisfano tutte le condizioni della vulnerabilità di controllare i registri di accesso degli ultimi mesi.
Okta offre un software che semplifica l'aggiunta di servizi di autenticazione alle proprie applicazioni. Le organizzazioni con più applicazioni possono dare ai propri utenti l'accesso a un unico sistema di login unificato, in modo che non debbano verificare la propria identità per ogni singola applicazione. L'azienda non ha rivelato se è a conoscenza di persone colpite da questo particolare problema, ma ha promesso di "comunicare più rapidamente con i clienti" dopo che il gruppo di minacce Lapsus$ ha avuto accesso agli account di alcuni utenti.