Okta 暴露明文形式的密码,或可被盗

admin 2022年7月20日23:15:32安全新闻评论5 views1101字阅读3分40秒阅读模式

Okta 暴露明文形式的密码,或可被盗 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Authomize 公司的研究员指出,身份服务提供商 Okta 正面临严重缺陷的威胁,可导致攻击者获得对平台的访问权限、提取明文形式的密码、模拟下游应用程序的用户并修改日志隐藏痕迹。

然而,Okta 公司表示这些问题是特性并非漏洞,应用程序是按照设计而运行的。今年1月份,威胁组织 LapsusS 声称已通过“超级用户”的账户凭据攻陷 Okta,并贴出声称从内部系统中抓取的截屏。

Authomize 公司的首席技术官 Gal Diskin 分析指出,“今年年初爆出 Okta 数据泄露新闻后,我们一直在尝试了解如果恶意软件获得 Okta 平台中最小级别的访问权限后能够进行哪些操作。”

Diskin 解释称 Okta 公司的密码同步架构可使潜在恶意人员访问明文形式的密码如管理员凭据等,甚至可从加密信道中访问。为此,攻击者需要以下游app的管理员身份登录系统(如客户服务代理或金融运营团队身份),之后可重新配置SCIM,从而获得任意 Okta 用户的密码。

研究人员在报告中提到,“攻击者提取明文形式密码所需做的只是获得应用的管理员权限。”鉴于规模不一的组织机构中用户的数量不断增多,企业尤为如此,Diskin 指出应用管理员被攻陷的概率从数据上来讲是非常高的。Verizon 公司发布的2022年数据泄露调查报告指出,82%的数据泄露事件涉及人为因素如凭据被盗和钓鱼攻击。更令人担忧的是,这些应用的管理员通常并不被认为是权限身份。

研究人员指出,Okta 的密码以明文形式存在的原因是不存在同步哈希的标准的可靠协议。然而,研究人员表示,Okta 确实承诺产品团队将进一步查看密码泄露风险。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击



原文链接

https://www.darkreading.com/application-security/okta-exposes-passwords-clear-text-theft


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Okta 暴露明文形式的密码,或可被盗
Okta 暴露明文形式的密码,或可被盗

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Okta 暴露明文形式的密码,或可被盗 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Okta 暴露明文形式的密码,或可被盗

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月20日23:15:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Okta 暴露明文形式的密码,或可被盗 http://cn-sec.com/archives/1189601.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: