Уязвимость входа в систему Okta пропускает проверку пароля
Компания Okta, один из ведущих мировых поставщиков услуг единого входа и управления идентификацией, в конце октября сообщила, что исправила ошибку в своем сервисе, которая вызывала потенциально серьезную угрозу безопасности. По сути, ошибка пропускала проверку пароля для любой учетной записи с именем пользователя длиной более 52 символов. Злодеи потенциально могли получить доступ к таким аккаунтам, просто введя правильное имя пользователя, даже если пароль, который они вводили, был неверным или вообще отсутствовал. Разумеется, это предполагает, что пароль является единственной защитой на данной учетной записи.
Ошибка была внесена в обновление, которое вышло в конце июля 2024 года, и была замечена и исправлена примерно три месяца спустя. Об ошибке не было широко известно, и потребовалось некоторое время, чтобы заметить и устранить ее. Подавляющее большинство имен пользователей для любого портала обычно не превышает 52 символов, хотя некоторые, например, те, которые включают имя и фамилию пользователя, а также домен электронной почты компании, могут превысить этот лимит. Уязвимость зависит от того, что многофакторная аутентификация не включена, и от удачи; в этом случае логины аутентифицировались по кэшу зашифрованного ключа от предыдущего успешного входа. Это означало, что если попытка входа в систему попала на главный сервер аутентификации Okta до того, как кэш успел загрузиться, у нее был шанс быть пойманной и остановленной.
Относительно узкий набор обстоятельств, при которых можно было использовать этот эксплойт, означает, что его потенциал вызвать хаос был невелик, но тот факт, что это произошло с такой компанией, как Okta, показателен. Риски безопасности изобилуют во многих формах в современном цифровом мире, и поэтому компания предупредила всех пользователей, как пострадавших, так и нет, о необходимости установить многофакторную аутентификацию наряду с любыми существующими средствами защиты. Многие сервисы входа в систему требуют от пользователей установки какой-либо вторичной авторизации в качестве условия создания и проверки новой учетной записи, что делает потенциально катастрофический эксплойт, подобный этому, не более чем поучительной историей для рядового пользователя.