Em um novo comunicado de segurança, a Okta revelou que seu sistema tinha uma vulnerabilidade que permitia que as pessoas fizessem login em uma conta sem precisar digitar a senha correta. Okta ignorou a autenticação de senha se a conta tivesse um nome de usuário de 52 ou mais caracteres. Além disso, o sistema teve que reconhecer uma “chave de cache salva” de uma autenticação anterior bem-sucedida, o que significa que o titular da conta deve ter feito login usando esse navegador no passado. Organizações que exigem autenticação multifator também não são afetadas, conforme aviso que a empresa enviou aos seus usuários.
Ainda assim, um nome de usuário de 52 caracteres é mais fácil de adivinhar do que uma senha aleatória – pode ser tão simples quanto o endereço de e-mail de uma pessoa, que inclui seu nome completo junto com o domínio do site da organização. A empresa admitiu que a vulnerabilidade foi introduzida como parte de uma atualização padrão em 23 de julho de 2024, e o problema só foi descoberto (e corrigido) em 30 de outubro. Aconselha agora os clientes que cumpram todas as condições da vulnerabilidade a verificarem o registo de acessos dos últimos meses.
A Okta oferece software que facilita para as empresas adicionar serviços de autenticação aos seus aplicativos. Para organizações com vários aplicativos, os usuários obtêm acesso a um login único e unificado para que não precisem verificar sua identidade em cada aplicativo. A empresa não revelou se tinha conhecimento de alguém afetado por esse problema específico, mas prometeu “se comunicar com os clientes mais rapidamente” no passado, depois que o grupo de ameaças Lapsus$ acessou as contas de alguns usuários.
