Dobësia e Okta lejoi që llogaritë me emra përdoruesish të gjatë të identifikoheshin pa një fjalëkalim

Në një këshillë të re sigurie, Okta ka zbuluar se sistemi i saj kishte një dobësi që i lejonte njerëzit të hynin në një llogari pa pasur nevojë të jepnin fjalëkalimin e saktë. Okta anashkaloi vërtetimin e fjalëkalimit nëse llogaria kishte një emër përdoruesi që kishte 52 ose më shumë karaktere. Më tej, sistemi i tij duhej të zbulonte një “çelës të ruajtur cache” të një vërtetimi të mëparshëm të suksesshëm, që do të thotë se pronari i llogarisë duhej të kishte histori të mëparshme të hyrjes duke përdorur atë shfletues. Ai gjithashtu nuk preku organizatat që kërkojnë vërtetim me shumë faktorë, sipas njoftimit që kompania u dërgoi përdoruesve të saj.

Megjithatë, një emër përdoruesi me 52 karaktere është më i lehtë për t’u marrë me mend sesa një fjalëkalim i rastësishëm mund të jetë po aq i thjeshtë sa adresa e emailit të një personi që ka emrin e tij të plotë së bashku me domenin e faqes së internetit të organizatës së tyre. Kompania ka pranuar se dobësia u prezantua si pjesë e një përditësimi standard që doli më 23 korrik 2024 dhe se e zbuloi (dhe e rregulloi) problemin vetëm më 30 tetor. Tani po këshillon klientët që plotësojnë të gjitha kushtet e cenueshmërisë që të kontrolloni regjistrin e tyre të aksesit gjatë muajve të fundit.

Okta ofron softuer që ua lehtëson kompanive shtimin e shërbimeve të vërtetimit në aplikacionin e tyre. Për organizatat me shumë aplikacione, ai u jep përdoruesve akses në një hyrje të vetme, të unifikuar, në mënyrë që të mos kenë nevojë të verifikojnë identitetin e tyre për secilin aplikacion. Kompania nuk tha nëse ishte në dijeni të dikujt që është prekur nga kjo çështje specifike, por premtoi se do të “komunikonte më shpejt me klientët” në të kaluarën pasi grupi i kërcënimit Lapsus$ kishte akses në disa llogari të përdoruesve.