La vulnerabilidad del inicio de sesión en Okta se salta las comprobaciones de contraseña

Okta, uno de los principales proveedores mundiales de servicio de inicio de sesión único y gestión de identidades, reveló a finales de octubre que la empresa había corregido un error en su servicio que provocaba una amenaza potencialmente grave amenaza para la seguridad. Esencialmente, el fallo omitía la comprobación de contraseñas para cualquier cuenta con un nombre de usuario de más de 52 caracteres. Los malos actores podían potencialmente entrar en estas cuentas con sólo introducir el nombre de usuario correcto, incluso si la contraseña que proporcionaban era incorrecta o incluso inexistente. Esto, por supuesto, supone que la contraseña es la única protección de la cuenta en cuestión.

El fallo se introdujo en una actualización que se lanzó cerca de finales de julio de 2024, y fue advertido y corregido unos tres meses después. No se informó ampliamente del fallo, y se tardó un tiempo en advertirlo y solucionarlo. La gran mayoría de los nombres de usuario de cualquier portal de acceso suelen tener menos de 52 caracteres, aunque algunos, como los que incluyen el nombre y los apellidos de alguien, así como el dominio de correo electrónico de su empresa, pueden rebasar ese límite. La vulnerabilidad dependía de que la autenticación multifactor no estuviera habilitada y de la suerte del sorteo; los inicios de sesión en este caso se autenticaban mediante una caché de la clave cifrada de un inicio de sesión anterior con éxito. Esto significaba que si el intento de inicio de sesión llegaba al servidor principal de autenticación de Okta antes de que se pudiera cargar la caché, tenía la posibilidad de ser capturado y detenido.

El conjunto relativamente estrecho de circunstancias que permitirían utilizar este exploit significaba que su potencial para causar el caos no era grande, pero el hecho de que esto le ocurriera a una empresa como Okta es revelador. Los riesgos de seguridad abundan de muchas formas en el mundo digital actual, y como tal, la empresa advirtió a todos los usuarios, afectados o no, que configuraran la autenticación multifactor junto con cualquier protección existente que tuvieran en marcha. Muchos servicios de inicio de sesión requieren que los usuarios configuren algún tipo de autorización secundaria como condición para crear y verificar su nueva cuenta, lo que hace que un exploit potencialmente desastroso como éste sea poco más que un cuento con moraleja para el usuario medio.