Home 전자·IT·통신 Okta 취약점으로 인해 사용자 이름이 긴 계정이 비밀번호 없이 로그인할 수 있었습니다.

Okta 취약점으로 인해 사용자 이름이 긴 계정이 비밀번호 없이 로그인할 수 있었습니다.

31
0


새로운 보안 권고에서 Okta는 노출된 그 시스템에는 취약성 사람들이 정확한 비밀번호를 입력하지 않고도 계정에 로그인할 수 있게 된 것입니다. Okta는 계정의 사용자 이름이 52자 이상인 경우 비밀번호 인증을 우회했습니다. 또한 시스템은 이전에 성공한 인증의 “저장된 캐시 키”를 감지해야 했습니다. 이는 계정 소유자가 해당 브라우저를 사용하여 로그인한 이전 기록을 가지고 있어야 함을 의미합니다. 또한 다단계 인증을 요구하는 조직에는 영향을 미치지 않았습니다. 회사가 사용자에게 보낸 통지.

그럼에도 불구하고 52자 사용자 이름은 임의의 비밀번호보다 추측하기가 더 쉽습니다. 이는 조직의 웹사이트 도메인과 함께 전체 이름이 포함된 개인의 이메일 주소만큼 간단할 수 있습니다. 회사는 이 취약점이 2024년 7월 23일에 출시된 표준 업데이트의 일부로 도입되었으며 10월 30일에야 문제를 발견(및 수정)했음을 인정했습니다. 이제 모든 취약점의 조건을 충족하는 고객에게 다음을 권고하고 있습니다. 지난 몇 달 동안의 액세스 로그를 확인하세요.

Okta는 기업이 애플리케이션에 인증 서비스를 쉽게 추가할 수 있는 소프트웨어를 제공합니다. 여러 앱이 있는 조직의 경우 사용자가 단일 통합 로그인에 액세스할 수 있으므로 각 애플리케이션에 대해 신원을 확인할 필요가 없습니다. 회사는 이 특정 문제로 인해 영향을 받은 사람이 있는지 여부를 밝히지 않았지만 약속하다 과거 위협그룹 랩서스$ 이후 “고객과 더 빠르게 소통”하기 위해 액세스됨 몇 명의 사용자 계정.



Source link