In einer neuen Sicherheitsempfehlung hat Okta bekannt gegeben, dass sein System eine Schwachstelle aufwies, die es Personen ermöglichte, sich bei einem Konto anzumelden, ohne das richtige Passwort eingeben zu müssen.
Okta umging die Passwortauthentifizierung, wenn der Benutzername des Kontos aus 52 oder mehr Zeichen bestand. Außerdem musste das System einen „gespeicherten Cache-Schlüssel“ einer früheren erfolgreichen Authentifizierung erkennen, was bedeutet, dass sich der Kontoinhaber bereits früher mit diesem Browser angemeldet haben muss. Organisationen, die eine Multi-Faktor-Authentifizierung verlangen, waren laut Mitteilung des Unternehmens an seine Benutzer nicht betroffen.
Ein Benutzername mit 52 Zeichen ist jedoch leichter zu erraten als ein zufälliges Passwort – es könnte sich um die E-Mail-Adresse einer Person handeln, die den vollständigen Namen zusammen mit der Website-Domain ihrer Organisation enthält. Das Unternehmen hat zugegeben, dass die Schwachstelle im Rahmen eines Standardupdates am 23. Juli 2024 eingeführt wurde und dass es das Problem erst am 30. Oktober entdeckt (und behoben) hat. Es empfiehlt nun Kunden, die alle Bedingungen der Schwachstelle erfüllen, ihre Zugriffsprotokolle der letzten Monate zu überprüfen.
Okta bietet eine Software an, die es Unternehmen erleichtert, Authentifizierungsdienste zu ihren Anwendungen hinzuzufügen. Organisationen mit mehreren Anwendungen können ihren Benutzern den Zugriff auf ein einziges, einheitliches Anmeldesystem ermöglichen, so dass sie ihre Identität nicht für jede Anwendung einzeln verifizieren müssen. Das Unternehmen gab nicht bekannt, ob es von diesem speziellen Problem betroffene Personen kennt, versprach jedoch, „schneller mit den Kunden zu kommunizieren“, nachdem die Lapsus$-Bedrohungsgruppe auf die Konten einiger Benutzer zugegriffen hatte.
