アップデートでこの欠陥が導入されてから 3 か月後、同社はついにこの欠陥を解決することに成功しました。
先生
- Okta は、パスワードなしのアクセスを可能にする脆弱性を明らかにしました。
- この脆弱性は、52 文字以上のユーザー名に影響を与えます。
- Okta は影響を受ける顧客に対し、アクセス ログを確認するようアドバイスしています。
オクタセキュリティ ソフトウェア会社は最近、ユーザーが情報を提供しなくてもアカウントにログインできるようになるシステムの脆弱性を明らかにしました。パスワード正しい。このセキュリティ上の欠陥は、52 文字以上のユーザー名を持つアカウントに影響を与えました。
脆弱性の詳細
同社が公開したセキュリティアドバイザリーによると、システムが「保存されたキャッシュキー» 以前に成功した認証の。これは、アカウント所有者がこのアカウントからのログイン履歴を持っている必要があることを意味します。ブラウザ。この脆弱性は、多要素認証を必要とする組織には影響しないことに注意してください。
考えられる結果
52 文字のユーザー名は、ランダムなパスワードよりも推測しやすくなります。実際、それは単に個人のフルネームとその組織の Web サイト ドメインを含む電子メール アドレスである可能性があります。
同社はそれを認めた脆弱性この問題は、2024 年 7 月 23 日にロールアウトされた標準アップデートの一部として導入されました。この問題は 10 月 30 日に発見され、修正されました。 Oktaは現在、この脆弱性の条件をすべて満たしている顧客に対し、過去数カ月間のアクセスログを確認するようアドバイスしている。
オクタは、企業が認証サービスを自社のサービスに追加できるサービスを提供します。アプリケーションは、この特定の問題の影響を受けた人物を認識しているかどうかは明らかにしなかった。しかし、彼女は次のように約束しました。顧客とのコミュニケーションをより迅速に行う» Lapsus$ 脅威グループによる複数のユーザー アカウントへの不正アクセスに続いて。
