Lỗ hổng Okta cho phép tài khoản có tên người dùng dài đăng nhập mà không cần mật khẩu

Trong một tư vấn bảo mật mới, Okta đã tiết lộ rằng hệ thống của họ có lỗ hổng cho phép mọi người đăng nhập vào tài khoản mà không cần phải cung cấp mật khẩu chính xác. Okta bỏ qua xác thực mật khẩu nếu tài khoản có tên người dùng có 52 ký tự trở lên. Hơn nữa, hệ thống của nó phải phát hiện “khóa bộ đệm được lưu trữ” của lần xác thực thành công trước đó, điều đó có nghĩa là chủ sở hữu tài khoản phải có lịch sử đăng nhập trước đó bằng trình duyệt đó. Nó cũng không ảnh hưởng đến các tổ chức yêu cầu xác thực đa yếu tố, theo thông báo mà công ty gửi cho người dùng.

Tuy nhiên, tên người dùng gồm 52 ký tự vẫn dễ đoán hơn mật khẩu ngẫu nhiên — nó có thể đơn giản như địa chỉ email của một người có tên đầy đủ cùng với tên miền trang web của tổ chức họ. Công ty đã thừa nhận rằng lỗ hổng này được đưa ra như một phần của bản cập nhật tiêu chuẩn phát hành vào ngày 23 tháng 7 năm 2024 và nó chỉ được phát hiện (và khắc phục) sự cố vào ngày 30 tháng 10. Công ty hiện đang khuyên những khách hàng đáp ứng tất cả các điều kiện của lỗ hổng bảo mật nên kiểm tra nhật ký truy cập của họ trong vài tháng qua.

Okta cung cấp phần mềm giúp các công ty dễ dàng thêm dịch vụ xác thực vào ứng dụng của họ. Đối với các tổ chức có nhiều ứng dụng, nó cung cấp cho người dùng quyền truy cập vào một thông tin đăng nhập thống nhất, duy nhất để họ không phải xác minh danh tính của mình cho từng ứng dụng. Công ty không cho biết liệu họ có biết ai bị ảnh hưởng bởi vấn đề cụ thể này hay không, nhưng họ hứa sẽ “liên lạc nhanh hơn với khách hàng” trước đây sau khi nhóm đe dọa Lapsus$ truy cập vào tài khoản của một số người dùng.