Securitytool Okta bevatte beveiligingsprobleem voor mensen met lange namen
©Unsplash
Securitysoftware Okta, dat ook in Nederland wordt gebruikt, blijkt maandenlang een groot beveiligingsprobleem te hebben gehad. Het opmerkelijke is dat het alleen voorkwam bij mensen met een lange gebruikersnaam.
Een bug in Okta zorgde er drie maanden voor dat accounts met gebruikersnamen van tenminste 52 karakters konden worden misbruikt door hackers. Onder bepaalde omstandigheden kon iemand zomaar wat invullen als wachtwoord en dan toegang krijgen tot een account. Okta heeft gebruikers een bericht gestuurd over de problemen en geeft aan dat ze nu zijn opgelost.
Multifactor-authenticatie
Het schrijft: “Voor Okta-organisaties zonder multifactor-authenticatie bij het inloggen was het mogelijk om met alleen de gebruikersnaam in te loggen, ongeacht wat er in het wachtwoordveld werd ingevuld.” Dit is alleen van toepassing op gebruikers die een gebruikersnaam langer dan 52 tekens hebben. Het probleem zou hebben gespeeld van 23 juli 2024 tot en met 30 oktober 2024. Wel moest er eerder op het systeem zijn ingelogd, want er werd informatie gehaald uit de cache om de authenticatie te laten doorgaan.
Het toont aan hoe belangrijk het is om een tweede vorm van authenticatie toe te voegen aan een inlogproces. Het biedt net een extra drempel voor kwaadwillenden om binnen te komen. In ieder geval raadt Okta mensen aan om de systeemlogs van de afgelopen drie maanden zorgvuldig te controleren. Zeker op momenten dat er veel verkeer was kon er misbruik worden gemaakt van het inlogprobleem.
Lees meer over internetbeveiliging en luister de Bright-podcast.