Главное:
- В облачном сервисе Okta была обнаружена уязвимость, позволяющая обойти проверку пароля при входе с длинными именами пользователей.
- Баг существовал в системе в течение трех месяцев и был исправлен после его обнаружения.
- Уязвимость затрагивала клиентов с именами пользователей, превышающими 52 символа, и могла быть использована лишь в условиях, когда многофакторная аутентификация не была активирована.
Описание уязвимости в системе Okta
Недавно в системе управления удостоверениями и доступом Okta была выявлена серьезная уязвимость. Проблема заключалась в том, что при вводе имен пользователей, превышающих 52 символа, можно было обойти проверку пароля, вводя любое значение. Команда Okta признала, что эта ошибка существовала в их системе с момента обновления, состоявшегося 23 июля, и не была устранена в течение трех месяцев. Данная ситуация подчеркивает важность регулярного мониторинга и усовершенствования систем безопасности.
Технические детали и последствия
По словам представителей Okta, уязвимость возникла из-за особенностей алгоритма Bcrypt, используемого для генерации ключа кэша. При определенных условиях это могло привести к успешной аутентификации пользователей, вводивших только имя пользователя. Одним из условий для эксплуатации этой уязвимости должно было быть наличие сохраненного кэша от предыдущей успешной аутентификации, а также отсутствие дополнительных мер безопасности, таких как многофакторная аутентификация.
Важно отметить, что аналогичные проблемы могут возникать в других системах, особенно в тех, где ограниченные меры безопасности создают условия для атак. Исследования показывают, что более 80% утечек данных происходят из-за недостатков в безопасности, что подчеркивает важность контроля доступа и аутентификации.
Реакция компании и рекомендации для клиентов
После обнаружения уязвимости Okta уведомила своих клиентов, особенно тех, у кого были длинные имена пользователей, о необходимости проверить системные журналы за последние три месяца. Важно, чтобы организации применяли многофакторную аутентификацию и другие современные меры безопасности для предотвращения подобных атак в будущем.
Согласно статистике, лишь 30% компаний внедряют многофакторную аутентификацию, что делает их уязвимыми для множества угроз. Беспечность в реализации базовых мер безопасности может обернуться серьезными последствиями для бизнеса, особенно в сфере, связанной с обработкой конфиденциальной информации.
Добавить комментарий