Deutsch
English
Español
Français
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarLa vulnerabilità del login di Okta ha saltato i controlli della password
Okta, uno dei principali fornitori al mondo di servizi di single sign on e di gestione delle identità, ha rivelato alla fine di ottobre che l'azienda aveva risolto un bug nel suo servizio che causava una minaccia alla sicurezza potenzialmente grave grave minaccia alla sicurezza. In sostanza, il bug saltava il controllo della password per qualsiasi account con un nome utente più lungo di 52 caratteri. I malintenzionati potevano potenzialmente entrare in questi account semplicemente inserendo il nome utente corretto, anche se la password fornita era sbagliata o addirittura assente. Questo, ovviamente, presuppone che la password sia l'unica protezione dell'account in questione.
Il bug è stato introdotto in un aggiornamento distribuito verso la fine di luglio 2024, ed è stato notato e risolto circa tre mesi dopo. Il bug non è stato ampiamente segnalato e ci è voluto un po' di tempo per notarlo e risolverlo. La stragrande maggioranza dei nomi utente per qualsiasi portale di accesso tende ad essere inferiore a 52 caratteri, anche se alcuni, come quelli che includono il nome e il cognome di una persona e il dominio e-mail aziendale, possono superare questo limite. La vulnerabilità si basava sul fatto che l'autenticazione a più fattori non fosse abilitata e sulla fortuna del sorteggio; i login in questo caso venivano autenticati da una cache della chiave crittografata di un precedente login riuscito. Ciò significa che se il tentativo di accesso raggiungeva il server di autenticazione principale di Okta prima che la cache potesse essere caricata, aveva la possibilità di essere catturato e bloccato.
L'insieme relativamente ristretto di circostanze che consentivano l'utilizzo di questo exploit significava che il suo potenziale di causare il caos non era grande, ma il fatto che sia accaduto a un'azienda come Okta è indicativo. I rischi per la sicurezza abbondano in molte forme nel mondo digitale di oggi, e come tale, l'azienda ha avvertito tutti gli utenti, colpiti o meno, di impostare l'autenticazione a più fattori accanto alle protezioni esistenti. Molti servizi di login richiedono agli utenti di impostare un qualche tipo di autorizzazione secondaria come condizione per creare e verificare il loro nuovo account, rendendo un exploit potenzialmente disastroso come questo poco più di un ammonimento per l'utente medio.
