En un nuevo aviso de seguridad, Okta ha reveló que su sistema tenía un vulnerabilidad que permitía a las personas iniciar sesión en una cuenta sin tener que proporcionar la contraseña correcta. Okta omitió la autenticación de contraseña si la cuenta tenía un nombre de usuario de 52 caracteres o más. Además, su sistema tuvo que detectar una “clave de caché almacenada” de una autenticación anterior exitosa, lo que significa que el propietario de la cuenta debía tener un historial previo de inicio de sesión utilizando ese navegador. Tampoco afectó a las organizaciones que requieren autenticación multifactor, según el aviso que la empresa envió a sus usuarios.
Aún así, un nombre de usuario de 52 caracteres es más fácil de adivinar que una contraseña aleatoria; podría ser tan simple como la dirección de correo electrónico de una persona que tiene su nombre completo junto con el dominio del sitio web de su organización. La compañía admitió que la vulnerabilidad se introdujo como parte de una actualización estándar que salió el 23 de julio de 2024 y que solo descubrió (y solucionó) el problema el 30 de octubre. Ahora recomienda a los clientes que cumplan con todas las condiciones de la vulnerabilidad que consulte su registro de acceso durante los últimos meses.
Okta proporciona software que facilita a las empresas agregar servicios de autenticación a su aplicación. Para organizaciones con múltiples aplicaciones, brinda a los usuarios acceso a un inicio de sesión único y unificado para que no tengan que verificar sus identidades para cada aplicación. La compañía no dijo si tiene conocimiento de alguien que haya sido afectado por este problema específico, pero prometió “comunicarse más rápidamente con los clientes” en el pasado después de que el grupo de amenazas Lapsus$ accediera a las cuentas de un par de usuarios.
