Un error en el inicio de sesión de Okta eludió la verificación de contraseñas en ciertos nombres de usuario extensos.

Se ha informado de un error de seguridad en el sistema de autenticación de Okta, el cual permitía a usuarios acceder a cuentas simplemente ingresando cualquier contraseña, pero únicamente en el caso de que el nombre de usuario tuviera más de 52 caracteres. Este problema fue descubierto internamente el 30 de octubre de 2024 y pudo haber estado presente desde una actualización realizada el 23 de julio.

La vulnerabilidad se originó en la generación de la clave de caché para el método de autenticación AD/LDAP DelAuth. En circunstancias específicas, al verificar la caché de una sesión de inicio de sesión anterior exitosa, los usuarios podían autenticarse utilizando solo el nombre de usuario, siempre que la clave de caché estuviera almacenada. Para que esto funcionara, también se necesitaba que el agente fuera inaccesible o que hubiera un tráfico elevado, lo que provocaría que se consultara la caché primero.

Para resolver el problema, Okta cambió el algoritmo criptográfico de Bcrypt a PBKDF2, una medida adoptada tras la identificación de la vulnerabilidad. La compañía ha instado a sus clientes a revisar los registros de sistema de los últimos tres meses si sus configuraciones cumplen con las condiciones necesarias. Por ahora, no se han proporcionado detalles adicionales por parte de Okta.