A vulnerabilidade de login do Okta ignorou as verificações de senha

A Okta, um dos principais fornecedores mundiais de serviços de logon único e gerenciamento de identidade, revelou no final de outubro que a empresa havia corrigido um bug em seu serviço que causava uma ameaça potencialmente grave à segurança grave ameaça à segurança. Essencialmente, o bug ignorava a verificação de senha para qualquer conta com um nome de usuário com mais de 52 caracteres. Os malfeitores poderiam entrar nessas contas apenas digitando o nome de usuário correto, mesmo que a senha fornecida estivesse errada ou mesmo ausente. Isso, é claro, pressupõe que a senha seja a única proteção da conta em questão.

O bug foi introduzido em uma atualização que foi lançada perto do final de julho de 2024 e foi notado e corrigido cerca de três meses depois. O bug não foi amplamente divulgado e demorou um pouco para ser percebido e corrigido. A grande maioria dos nomes de usuário de qualquer portal de login tende a ter menos de 52 caracteres, embora alguns, como aqueles que incluem o nome e o sobrenome de alguém, bem como o domínio de e-mail da empresa, possam ultrapassar esse limite. A vulnerabilidade dependia de a autenticação multifator não estar ativada e da sorte do sorteio; os logins, nesse caso, eram autenticados por um cache da chave criptografada de um login anterior bem-sucedido. Isso significava que, se a tentativa de login atingisse o servidor principal de autenticação do Okta antes que o cache pudesse ser carregado, ela teria a chance de ser detectada e interrompida.

O conjunto relativamente restrito de circunstâncias que permitiriam o uso desse exploit significava que seu potencial para causar o caos não era grande, mas o fato de isso ter acontecido com uma empresa como a Okta é revelador. Os riscos de segurança são abundantes em muitas formas no mundo digital de hoje e, como tal, a empresa alertou todos os usuários, afetados ou não, para configurar a autenticação multifator juntamente com qualquer proteção existente. Muitos serviços de login exigem que os usuários configurem algum tipo de autorização secundária como condição para criar e verificar sua nova conta, o que faz com que uma exploração potencialmente desastrosa como essa seja pouco mais do que um conto de advertência para o usuário comum.