In einem neuen Sicherheitshinweis hat Okta genau das getan enthüllt Das sind System eins Verletzlichkeit Dadurch konnten sich Benutzer bei einem Konto anmelden, ohne das richtige Passwort einzugeben. Okta umging die Passwortauthentifizierung, wenn das Konto einen Benutzernamen mit 52 oder mehr Zeichen hatte. Darüber hinaus musste das System einen „gespeicherten Cache-Schlüssel“ aus einer früheren erfolgreichen Authentifizierung erkennen, was bedeutete, dass der Kontoinhaber über eine Historie der Anmeldungen mit diesem Browser verfügen musste. Auch Organisationen, die eine Multi-Faktor-Authentifizierung benötigen, seien davon nicht betroffen, hieß es Nachricht, die das Unternehmen an seine Benutzer gesendet hat.
Dennoch ist ein 52-stelliger Benutzername leichter zu erraten als ein zufälliges Passwort. Es kann so einfach sein wie die E-Mail-Adresse einer Person mit dem vollständigen Namen der Organisation und der Website-Domain. Das Unternehmen hat zugegeben, dass die Schwachstelle im Rahmen eines am 23. Juli 2024 veröffentlichten Standardupdates eingeführt wurde und dass das Problem erst am 30. Oktober entdeckt (und behoben) wurde. Kunden, die alle Bedingungen der Sicherheitslücke erfüllen, wird nun empfohlen, ihre Zugriffsprotokolle der letzten Monate zu überprüfen.
Okta bietet Software, mit der Unternehmen ihren Anwendungen problemlos Authentifizierungsdienste hinzufügen können. Für Organisationen mit mehreren Apps erhalten Benutzer Zugriff auf ein einziges, einheitliches Login, sodass sie ihre Identität nicht für jede Anwendung überprüfen müssen. Das Unternehmen hat nicht gesagt, ob ihm jemand bekannt ist, der von diesem speziellen Problem betroffen ist, aber das ist der Fall versprochen um „schneller mit Kunden zu kommunizieren“ in der Vergangenheit nach der Bedrohungsgruppe Lapsus$ näherte sich ein paar Benutzerkonten.
