Okta, uno dei fornitori più utilizzati di servizi Single Sign-On, o SSO, ha recentemente rivelato una grave vulnerabilità di sicurezza che è stata risolta a fine ottobre. Il difetto riguardava tutti gli account il cui nome utente conteneva almeno 52 caratteri. A questo punto, il servizio ha semplicemente saltato la verifica della password.
Okta, fornitore leader a livello mondiale di servizi Single Sign-On e di gestione delle identità, ha rivelato alla fine di ottobre di aver corretto un bug nel suo servizio che causava una minaccia alla sicurezza potenzialmente grave. In sostanza, il bug saltava la verifica della password per qualsiasi account il cui nome utente fosse più lungo di 52 caratteri. I malintenzionati potrebbero potenzialmente accedere a questi account semplicemente inserendo il nome utente corretto, anche se la password fornita era sbagliata o addirittura mancante. Naturalmente ciò presuppone che la password sia l’unica protezione per l’account in questione.
Il bug è stato introdotto in un aggiornamento rilasciato verso la fine di luglio 2024 ed è stato notato e risolto circa tre mesi dopo. Non è stato ampiamente riportato e ci è voluto del tempo per notarlo e risolverlo. La stragrande maggioranza dei nomi utente per qualsiasi portale di accesso tende ad essere inferiore a 52 caratteri, sebbene alcuni, come quelli che includono il nome e cognome di una persona nonché il dominio di posta elettronica aziendale, potrebbero superare questo limite. La vulnerabilità si basa sul fatto che l’autenticazione a più fattori non è abilitata e sulla fortuna del sorteggio; in questo caso, le connessioni vengono autenticate da una cache della chiave crittografata da una precedente connessione riuscita. Ciò significa che se il tentativo di accesso raggiunge il server di autenticazione principale di Okta prima che la cache venga caricata, ha la possibilità di essere rilevato e interrotto.
Le circostanze relativamente limitate che hanno consentito l’utilizzo di questo exploit hanno fatto sì che il potenziale di caos non fosse molto elevato, ma il fatto che ciò sia accaduto a un’azienda come Okta è significativo. I rischi per la sicurezza sono numerosi nel mondo digitale di oggi, ed è per questo che l’azienda ha avvertito tutti gli utenti, interessati o meno, di implementare l’autenticazione a più fattori oltre a qualsiasi protezione esistente. Molti servizi di accesso richiedono agli utenti di impostare una sorta di autorizzazione secondaria come condizione per creare e verificare il loro nuovo account, rendendo un exploit potenzialmente disastroso come questo qualcosa di più di un semplice avvertimento per l’utente medio.
Traduttore: Ninh Ngoc Duy – Assistente editoriale – 454464 articoli pubblicati su Notebookcheck dal 2008
Per favore condividi il nostro articolo, ogni link conta!
Related News :