Okta uzun kullanıcı adlarına sahip olanları veya uzun alan adlarına sahip işverenleri etkileyen bir kimlik doğrulama atlama hatasını giderdi.
Güvenlik açığı, siber suçluların yalnızca bir kullanıcı adı kullanarak Okta AD/LDAP yetkilendirilmiş kimlik doğrulamasını (DelAuth) geçmesine olanak tanımış olabilir. Ancak bu yalnızca bir dizi koşulun yerine getirilmesi durumunda kullanılabilir; bu koşullardan biri, 52 veya daha fazla karaktere sahip bir kullanıcı adıdır.
Alışılmadık olsa da, bazı kişiler kullanıcı adı olarak e-posta adreslerini kullanmayı tercih ediyor, bu da 52 karakterlik bir kullanıcı adı olasılığını tamamen ortadan kaldırmıyor.
Karşılanması gereken diğer koşullar, kullanıcının daha önce kimlik doğrulaması yapması, kimlik doğrulamanın önbelleğini oluşturması; ve “AD/LDAP aracısı kapalıysa veya örneğin yüksek ağ trafiği nedeniyle ulaşılamıyorsa” meydana gelebilecek şekilde önbellek ilk olarak kullanıldıysa, kimlik doğrulama şirketine göre kusur tavsiyesinde bulunur.
Güvenlik açığı, Okta tarafından üç ay boyunca sistemde gizlendikten sonra 30 Ekim’de keşfedildi. Sorun o zamandan bu yana düzeltilmiş olsa da şirket, müşterilerin günlüklerinde herhangi bir sorun olup olmadığını kontrol etmelerini önerdi. garip kimlik doğrulama girişimleri 23 Temmuz’a kadar uzanıyor.
Okta ayrıca, kullanım ön koşullarının bir parçası olarak uygulanmadığı için müşterilerin en azından çok faktörlü kimlik doğrulamayı (MFA) uygulamasını önerdi.
Herhangi bir vahşi sömürü girişiminin olup olmadığı belli değil. Okta, Dark Reading’in yorum talebine hemen yanıt vermedi.