在更新引入此缺陷三個月後,該公司終於成功解決了這個問題。
太;博士
- Okta 披露了一個允許無密碼存取的漏洞。
- 此漏洞影響 52 個或更多字元的使用者名稱。
- Okta 建議受影響的客戶檢查他們的訪問日誌。
奧克塔安全軟體公司最近披露了其係統中的一個漏洞,允許人們無需提供任何資訊即可登入帳戶密碼正確的。此安全漏洞影響使用者名稱包含 52 個字元或更多字元的帳戶。
漏洞的具體情況
根據該公司發布的安全公告,如果系統偵測到“儲存的快取密鑰» 先前成功的身份驗證。這意味著帳戶所有者必須具有此登入記錄瀏覽器。請注意,此漏洞不會影響需要多重身份驗證的組織。
可能的後果
52 個字元的使用者名稱比隨機密碼更容易猜到。事實上,它可能只是一個人的電子郵件地址,其中包括他們的全名及其組織的網站網域。
該公司承認脆弱性是作為 2024 年 7 月 23 日推出的標準更新的一部分引入的。 Okta 現在建議滿足此漏洞所有條件的客戶檢查過去幾個月的訪問日誌。
奧克塔,它提供的服務允許企業將身份驗證服務添加到他們的應用,沒有具體說明是否知道有人受到此特定問題的影響。然而,她承諾“與客戶更快速地溝通» Lapsus$ 威脅組織未經授權存取了多個使用者帳戶。
