Authentiecatieplatform Okta heeft een kwetsbaarheid in zijn systemen opgelost waardoor gebruikers in specifieke situaties zonder wachtwoord konden inloggen. Het probleem trad alleen op als de gebruikersnaam langer dan 52 tekens was en er al eerder succesvol was ingelogd.
Okta schrijft in een blogbericht dat de kwetsbaarheid zich voordeed tijdens het genereren van een cache key voor het AD/LDAP DelAuth-authenticatieprotocol. Het systeem viel bij gebruikers met een gebruikersnaam van meer dan 52 tekens soms terug op een oude opgeslagen inlogsleutel van een eerdere succesvolle inlogpoging. Hierdoor konden de gebruikers inloggen zonder hun wachtwoord in te voeren. De kwetsbaarheid was sinds 23 juli aanwezig in de authenticatiesystemen van het bedrijf en werd op 30 oktober gepatched. Okta raadt klanten aan om logbestanden uit deze periode na te kijken.
Source: Tweakers.net