Okta login kwetsbaarheid slaat wachtwoord controles over
Okta, een van 's werelds toonaangevende leveranciers van eenmalige aanmeldingsdiensten en identiteitsbeheer, onthulde eind oktober dat het bedrijf een bug in zijn service had verholpen die een potentieel ernstige bedreiging voor de veiligheid. De bug sloeg wachtwoordcontrole over voor elke account met een gebruikersnaam van meer dan 52 tekens. Kwaadwillenden konden mogelijk toegang krijgen tot deze accounts door gewoon de juiste gebruikersnaam in te voeren, zelfs als het opgegeven wachtwoord verkeerd of zelfs afwezig was. Dit gaat er natuurlijk van uit dat een wachtwoord de enige bescherming is voor het account in kwestie.
De bug werd geïntroduceerd in een update die eind juli 2024 werd uitgerold, en werd ongeveer drie maanden later opgemerkt en verholpen. De bug werd niet op grote schaal gemeld en het duurde even voordat deze werd opgemerkt en verholpen. De overgrote meerderheid van gebruikersnamen voor een inlogportaal bestaat uit minder dan 52 tekens, hoewel sommige namen, zoals die met iemands voor- en achternaam en het e-mailadres van het bedrijf, die limiet kunnen overschrijden. De kwetsbaarheid was afhankelijk van multi-factor authenticatie die niet was ingeschakeld en van het geluk van de loting; aanmeldingen werden in dit geval geverifieerd door een cache van de versleutelde sleutel van een eerdere succesvolle aanmelding. Dit betekende dat als de inlogpoging de hoofdverificatieserver van Okta bereikte voordat de cache kon worden geladen, deze de kans had om te worden opgevangen en gestopt.
De relatief beperkte omstandigheden waaronder deze exploit kon worden gebruikt, betekenden dat het potentieel om chaos te veroorzaken niet groot was, maar het feit dat dit een bedrijf als Okta overkwam, is veelzeggend. Beveiligingsrisico's zijn er in overvloed in vele vormen in de huidige digitale wereld, en daarom waarschuwde het bedrijf alle gebruikers, getroffen of niet, om multifactorauthenticatie in te stellen naast bestaande beveiligingen die ze al hadden. Veel inlogdiensten vereisen dat gebruikers een soort secundaire autorisatie instellen als voorwaarde voor het aanmaken en verifiëren van hun nieuwe account, waardoor een potentieel rampzalige exploit zoals deze weinig meer is dan een waarschuwend verhaal voor de gemiddelde gebruiker.
Bron(nen)
Top 10 Testrapporten
» Top 10 Multimedia Notebooks
» Top 10 Gaming-Notebooks
» Top 10 Budget Gaming Laptops
» Top 10 Lichtgewicht Gaming-Notebooks
» Top 10 Premium Office/Business-Notebooks
» Top 10 Budget Office/Business-Notebooks
» Top 10 Workstation-Laptops
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Notebooks tot €300
» Top 10 Notebooks tot €500
» Top 10 Notebooks tot € 1.000De beste notebookbeeldschermen zoals getest door Notebookcheck
» De beste notebookbeeldschermen
» Top Windows Alternatieven voor de MacBook Pro 13
» Top Windows Alternatieven voor de MacBook Pro 15
» Top Windows alternatieven voor de MacBook 12 en Air
» Top 10 best verkopende notebooks op Amazon
» Top 10 Convertible Notebooks
» Top 10 Tablets
» Top 10 Tablets tot € 250
» Top 10 Smartphones
» Top 10 Phablets (>90cm²)
» Top 10 Camera Smartphones
» Top 10 Smartphones tot €500
» Top 10 best verkopende smartphones op Amazon