Deutsch
English
Español
Français
Italiano
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarOkta login kwetsbaarheid slaat wachtwoord controles over
Okta, een van 's werelds toonaangevende leveranciers van eenmalige aanmeldingsdiensten en identiteitsbeheer, onthulde eind oktober dat het bedrijf een bug in zijn service had verholpen die een potentieel ernstige bedreiging voor de veiligheid. De bug sloeg wachtwoordcontrole over voor elke account met een gebruikersnaam van meer dan 52 tekens. Kwaadwillenden konden mogelijk toegang krijgen tot deze accounts door gewoon de juiste gebruikersnaam in te voeren, zelfs als het opgegeven wachtwoord verkeerd of zelfs afwezig was. Dit gaat er natuurlijk van uit dat een wachtwoord de enige bescherming is voor het account in kwestie.
De bug werd geïntroduceerd in een update die eind juli 2024 werd uitgerold, en werd ongeveer drie maanden later opgemerkt en verholpen. De bug werd niet op grote schaal gemeld en het duurde even voordat deze werd opgemerkt en verholpen. De overgrote meerderheid van gebruikersnamen voor een inlogportaal bestaat uit minder dan 52 tekens, hoewel sommige namen, zoals die met iemands voor- en achternaam en het e-mailadres van het bedrijf, die limiet kunnen overschrijden. De kwetsbaarheid was afhankelijk van multi-factor authenticatie die niet was ingeschakeld en van het geluk van de loting; aanmeldingen werden in dit geval geverifieerd door een cache van de versleutelde sleutel van een eerdere succesvolle aanmelding. Dit betekende dat als de inlogpoging de hoofdverificatieserver van Okta bereikte voordat de cache kon worden geladen, deze de kans had om te worden opgevangen en gestopt.
De relatief beperkte omstandigheden waaronder deze exploit kon worden gebruikt, betekenden dat het potentieel om chaos te veroorzaken niet groot was, maar het feit dat dit een bedrijf als Okta overkwam, is veelzeggend. Beveiligingsrisico's zijn er in overvloed in vele vormen in de huidige digitale wereld, en daarom waarschuwde het bedrijf alle gebruikers, getroffen of niet, om multifactorauthenticatie in te stellen naast bestaande beveiligingen die ze al hadden. Veel inlogdiensten vereisen dat gebruikers een soort secundaire autorisatie instellen als voorwaarde voor het aanmaken en verifiëren van hun nieuwe account, waardoor een potentieel rampzalige exploit zoals deze weinig meer is dan een waarschuwend verhaal voor de gemiddelde gebruiker.
Bron(nen)
