Uma situação um tanto curiosa surgiu para os clientes da Okta: em um cenário específico, era possível fazer login digitando qualquer coisa como senha! Isso só acontecia em contas com nomes de usuário muito longos (mais de 52 caracteres) e apenas se outras condições fossem atendidas, como a política de autenticação da empresa não exigir verificação multifator (MFA).
O Que Aconteceu?
A vulnerabilidade foi identificada internamente pela Okta no dia 30 de outubro de 2024. A empresa explicou que um bug no processo de autenticação permitia que, em determinadas situações, a chave de cache de login fosse usada incorretamente.
O problema estava no algoritmo Bcrypt, utilizado para gerar a chave de cache no caso de autenticação AD/LDAP DelAuth. Em cenários específicos – quando o agente de autenticação ficava inativo ou havia tráfego intenso – o sistema recorria a um cache de login anterior bem-sucedido. Isso poderia permitir login apenas com o nome de usuário, ignorando completamente a senha.
Quanto Tempo Durou a Vulnerabilidade?
A falha começou a ocorrer após uma atualização em 23 de julho e foi corrigida quando o algoritmo foi substituído por PBKDF2. O alerta recomenda que empresas revisem os logs dos últimos três meses para identificar possíveis acessos não autorizados.
Essa situação destaca a importância de revisões constantes em sistemas de segurança e, principalmente, da adoção de MFA.
