Oktaは盗難の可能性のためにパスワードをクリアテキストで公開します from darkreading.com

アイデンティティサービスプロバイダーのOktaは深刻なセキュリティ上の欠陥に直面しており、攻撃者がプラットフォームにリモートアクセスしたり、プレーンテキストのパスワードを抽出したり、ダウンストリームアプリケーションのユーザーになりすましたり、ログを変更してそこにあった証拠を隠したりする可能性があると研究者は主張しています。
「今年初めのOkta違反のニュースを受けて、悪意のある攻撃者がOktaプラットフォーム内で最小限のアクセスレベルを達成した場合に、どのようなアクションを実行できるかを理解することに注力しました」Authomize CTOGalDiskinはチームのセキュリティで述べています今週の分析。
Diskinは、パスワード同期のためのOktaのアーキテクチャにより、潜在的な悪意のある攻撃者が、暗号化されたチャネルを介しても、管理者の資格情報を含むプレーンテキストのパスワードにアクセスできると説明しました。
そのためには、攻撃者はダウンストリームアプリのアプリ管理者としてシステムにサインインする必要があります（例にはカスタマーサービスエージェントや金融運用チームが含まれます）—そこから、クロスドメインID管理用にシステムを再構成できます（ SCIM）任意のOktaユーザーのパスワードを取得します。