Rò rỉ lỗ hổng Okta cho phép tài khoản có tên người dùng dài đăng nhập mà không cần mật khẩu. Trong một thông báo bảo mật mới, Okta đã tiết lộ rằng hệ thống của họ có một lỗ hổng cho phép người dùng đăng nhập vào tài khoản mà không cần cung cấp mật khẩu đúng. Okta bỏ qua xác thực mật khẩu nếu tài khoản có tên người dùng có 52 ký tự trở lên. Hơn nữa, hệ thống của họ phải phát hiện được “khóa bộ nhớ đệm lưu trữ” của một lần xác thực thành công trước đó, có nghĩa là chủ sở hữu tài khoản phải có lịch sử đăng nhập trước đó bằng trình duyệt đó. Điều này cũng không ảnh hưởng đến các tổ chức yêu cầu xác thực đa yếu tố, theo thông báo mà công ty gửi đến người dùng của mình.
Tuy nhiên, một tên người dùng có 52 ký tự dễ đoán hơn một mật khẩu ngẫu nhiên – có thể đơn giản như địa chỉ email của một người có tên đầy đủ cùng với tên miền trang web của tổ chức họ. Công ty đã thừa nhận rằng lỗ hổng này đã được giới thiệu như một phần của bản cập nhật tiêu chuẩn được phát hành vào ngày 23 tháng 7 năm 2024 và rằng họ chỉ phát hiện (và sửa) vấn đề vào ngày 30 tháng 10. Bây giờ họ khuyên khách hàng đáp ứng tất cả các điều kiện của lỗ hổng kiểm tra nhật ký truy cập của họ trong vài tháng qua.
Okta cung cấp phần mềm giúp cho các công ty dễ dàng thêm dịch vụ xác thực vào ứng dụng của họ. Đối với các tổ chức có nhiều ứng dụng, nó cung cấp cho người dùng quyền truy cập vào một hệ thống đăng nhập duy nhất, thống nhất để họ không cần phải xác minh danh tính cho mỗi ứng dụng. Công ty không nói liệu họ có nhận thức về bất kỳ ai bị ảnh hưởng bởi vấn đề cụ thể này hay không, nhưng họ đã hứa “giao tiếp nhanh chóng hơn với khách hàng” trong quá khứ sau khi nhóm đe dọa Lapsus$ đã truy cập vào một số tài khoản người dùng. #Okta #lỗhổng #bảomật
In a new security advisory, Okta has revealed that its system had a vulnerability that allowed people to log into an account without having to provide the correct password. Okta bypassed password authentication if the account had a username that had 52 or more characters. Further, its system had to detect a “stored cache key” of a previous successful authentication, which means the account’s owner had to have previous history of logging in using that browser. It also didn’t affect organizations that require multi-factor authentication, according to the notice the company sent to its users.
Still, a 52-character username is easier to guess than a random password — it could be as simple as a person’s email address that has their full name along with their organization’s website domain. The company has admitted that the vulnerability was introduced as part of a standard update that went out on July 23, 2024 and that it only discovered (and fixed) the issue on October 30. It’s now advising customers who meet all of the vulnerability’s conditions to check their access log over the past few months.
Okta provides software that makes it easy for companies to add authentication services to their application. For organizations with multiple apps, it gives users access to a single, unified log-in so they don’t have to verify their identities for each application. The company didn’t say whether it’s aware of anybody who’s been affected by this specific issue, but it promised to “communicate more rapidly with customers” in the past after the threat group Lapsus$ accessed a couple of users’ accounts.
