聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
然而,Okta 公司表示这些问题是特性并非漏洞,应用程序是按照设计而运行的。今年1月份,威胁组织 LapsusS 声称已通过“超级用户”的账户凭据攻陷 Okta,并贴出声称从内部系统中抓取的截屏。
Authomize 公司的首席技术官 Gal Diskin 分析指出,“今年年初爆出 Okta 数据泄露新闻后,我们一直在尝试了解如果恶意软件获得 Okta 平台中最小级别的访问权限后能够进行哪些操作。”
Diskin 解释称 Okta 公司的密码同步架构可使潜在恶意人员访问明文形式的密码如管理员凭据等,甚至可从加密信道中访问。为此,攻击者需要以下游app的管理员身份登录系统(如客户服务代理或金融运营团队身份),之后可重新配置SCIM,从而获得任意 Okta 用户的密码。
研究人员在报告中提到,“攻击者提取明文形式密码所需做的只是获得应用的管理员权限。”鉴于规模不一的组织机构中用户的数量不断增多,企业尤为如此,Diskin 指出应用管理员被攻陷的概率从数据上来讲是非常高的。Verizon 公司发布的2022年数据泄露调查报告指出,82%的数据泄露事件涉及人为因素如凭据被盗和钓鱼攻击。更令人担忧的是,这些应用的管理员通常并不被认为是权限身份。
研究人员指出,Okta 的密码以明文形式存在的原因是不存在同步哈希的标准的可靠协议。然而,研究人员表示,Okta 确实承诺产品团队将进一步查看密码泄露风险。
https://www.darkreading.com/application-security/okta-exposes-passwords-clear-text-theft
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Okta 暴露明文形式的密码,或可被盗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论