Em um novo aviso de segurança, a Okta revelou que seu sistema tinha uma vulnerabilidade que permitia que as pessoas fizessem login em uma conta sem precisar fornecer a senha correta. A Okta ignorou a autenticação por senha se a conta tivesse um nome de usuário com 52 ou mais caracteres. Além disso, seu sistema precisava detectar uma “chave de cache armazenada” de uma autenticação bem-sucedida anterior, o que significa que o proprietário da conta precisava ter um histórico anterior de login usando aquele navegador. Também não afetou organizações que exigem autenticação de múltiplos fatores, de acordo com o aviso que a empresa enviou aos seus usuários.
Ainda assim, um nome de usuário de 52 caracteres é mais fácil de adivinhar do que uma senha aleatória — pode ser tão simples quanto o endereço de e-mail de uma pessoa que contém seu nome completo junto com o domínio do site da sua organização. A empresa admitiu que a vulnerabilidade foi introduzida como parte de uma atualização padrão que foi lançada em 23 de julho de 2024 e que só descobriu (e corrigiu) o problema em 30 de outubro. Agora está aconselhando os clientes que atendem a todas as condições da vulnerabilidade a verificarem seus registros de acesso nos últimos meses.
A Okta fornece software que facilita para as empresas adicionar serviços de autenticação a seus aplicativos. Para organizações com múltiplos aplicativos, oferece aos usuários acesso a um único login unificado, para que não precisem verificar suas identidades para cada aplicativo. A empresa não disse se está ciente de alguém que tenha sido afetado por esse problema específico, mas prometeu “comunicar-se mais rapidamente com os clientes” no passado, depois que o grupo de ameaças Lapsus$ acessou as contas de alguns usuários.