La vulnerabilidad de inicio de sesión de Okta no puede verificar las contraseñas

-
type="image/webp">>
Fuente de la imagen: generada por IA

Okta, uno de los proveedores de servicios de inicio de sesión único (SSO) más utilizados, reveló recientemente una importante vulnerabilidad de seguridad que fue reparada a finales de octubre. La falla afectó a todas las cuentas cuyo nombre de usuario tenía 52 caracteres o más. Hasta ahora, el servicio simplemente se saltó la verificación de la contraseña.

Okta, un proveedor líder mundial de servicios de gestión de identidades y de inicio de sesión único, reveló a finales de octubre que había solucionado un error en su servicio que causaba una amenaza de seguridad potencialmente grave. Básicamente, el error omitió la verificación de la contraseña de cualquier cuenta cuyo nombre de usuario tuviera más de 52 caracteres. Los malos actores podrían potencialmente obtener acceso a estas cuentas simplemente ingresando el nombre de usuario correcto, incluso si la contraseña que proporcionaron era incorrecta o incluso faltaba. Por supuesto, esto supone que una contraseña es la única protección para la cuenta en cuestión.

El error se introdujo en una actualización publicada a finales de julio de 2024 y se detectó y solucionó unos tres meses después. No se informó ampliamente y tomó un tiempo notarlo y resolverlo. La gran mayoría de los nombres de usuario para cualquier portal de inicio de sesión tienden a tener menos de 52 caracteres, aunque algunos, como los que incluyen el nombre y apellido de una persona, así como el dominio de correo electrónico de su empresa, pueden exceder este límite. La vulnerabilidad depende de que la autenticación multifactor no esté habilitada y de la suerte del sorteo; en este caso, las conexiones se autentican mediante un caché de la clave cifrada de una conexión anterior exitosa. Esto significa que si el intento de inicio de sesión llega al servidor de autenticación principal de Okta antes de que se cargue el caché, tiene posibilidades de ser detectado y detenido.

El conjunto relativamente pequeño de circunstancias que permitieron el uso de este exploit significó que su potencial de caos no era muy alto, pero el hecho de que esto le haya sucedido a una empresa como Okta es revelador. Los riesgos de seguridad son numerosos en el mundo digital actual y es por eso que la compañía ha advertido a todos los usuarios, afectados o no, que implementen la autenticación multifactor además de las protecciones existentes. Muchos servicios de inicio de sesión requieren que los usuarios configuren algún tipo de permiso secundario como condición para crear y verificar su nueva cuenta, lo que hace que un exploit potencialmente desastroso como este sea sólo una advertencia para el usuario promedio.

>>
>Ninh Duy>

Traductor: Ninh Ngoc Duy – Asistente editorial – 454464 artículos publicados en Notebookcheck desde 2008

Comparta nuestro artículo, ¡cada enlace cuenta!

-

NEXT Icono base de refuerzo de solución DCE EA FC 25 – Guías