ChainCatcher 메시지, 신원 및 접근 관리 소프트웨어 제공업체 Okta 공식 발표에 따르면, 2024년 10월 30일 내부에서 AD/LDAP DelAuth 캐시 키 생성 시 존재하는 취약점을 발견했습니다. Bcrypt 알고리즘이 캐시 키 생성을 위해 사용되며, 여기서 우리는 userId + 사용자 이름 + 비밀번호의 조합 문자열에 대해 해시 처리를 수행합니다. 특정 조건에서, 이는 사용자가 사용자 이름에 이전에 성공적으로 인증된 저장된 캐시 키를 제공함으로써 인증을 받을 수 있게 합니다.이 취약점의 전제는 매번 사용자에 대해 캐시 키를 생성할 때, 사용자 이름이 52자 이상이어야 한다는 것입니다. 영향을 받는 제품 및 버전은 2024년 7월 23일 기준의 Okta AD/LDAP DelAuth이며, 이 취약점은 2024년 10월 30일 Okta의 생산 환경에서 해결되었습니다.

ChainCatcher 메시지, io.net의 최고 기술 책임자 Gaurav_IO가 트위터에 게시한 내용에 따르면, 작업 노드에서의 제3자 인증 제공업체 Okta의 Auth0 프로세스에 문제가 발생하여 io.net이 Okta 측의 속도 제한에 도달했다고 합니다.이로 인해 일부 장치가 API에 접근할 때 연결에 영향을 미칠 수 있으며, 후방 서버와의 연결 실패를 초래할 수 있습니다.비록 이것이 작업 노드나 후방 서버에 직접적인 위협이 되지는 않지만, 작업 노드의 정상적인 운영에 영향을 미칠 수 있습니다.io.net은 Okta와 협력하여 문제를 해결하고 있으며, 향후 유사 사건이 발생하지 않도록 조치를 취하고 있습니다.

ChainCatcher 메시지, io.net 공동 창립자이자 CEO Ahmad Shadid가 게시한 글에 따르면, 최근 메타데이터 API에 대한 무단 접근이 발생하여 사용자 프론트엔드에 표시되는 메타데이터에 영향을 미쳤습니다. GPU 접근 권한이 유출되지 않았고, 민감한 사용자 또는 장치 데이터도 노출되지 않았습니다.이 사건을 고려하여, io.net은 OKTA의 사용자 수준 인증 통합 배포를 가속화하였으며, 이 배포는 다음 6시간 내에 완료될 예정입니다.또한, io.net은 사용자 인증을 위해 Auth0 Token을 도입하여 무단 메타데이터 변경을 차단합니다. 데이터베이스 복구 기간 동안 사용자는 일시적으로 로그인할 수 없습니다. 모든 정상 운영 시간 기록은 영향을 받지 않으며, 이는 공급자의 계산 보상에도 영향을 미치지 않습니다.

ChainCatcher 메시지에 따르면, 로이터 통신사는 신원 관리 회사인 Okta(OKTA.O)가 화요일에 해커가 두 달 전의 네트워크 취약점을 통해 고객 지원 시스템의 모든 사용자 정보를 도용했다고 밝혔다. 이 회사는 고객에게 통보했으며, 해커가 고객 지원 시스템을 사용하는 모든 고객의 이름과 이메일 주소 등의 데이터가 포함된 보고서를 다운로드한 것으로 확인했다.Okta는 "우리는 이러한 정보가 적극적으로 이용되고 있다는 직접적인 지식이나 증거는 없지만, 이 파일이 피싱 및 사회 공학의 보안 위험을 증가시킨다는 사실을 모든 고객에게 통보했다"고 말했다.

ChainCatcher 메시지에 따르면, OpenAI CEO Sam Altman이 설립한 암호화폐 회사 Worldcoin이 독일의 신원 및 접근 관리 소프트웨어 제공업체 Okta와 통합되어 신원 프로토콜 World ID를 출시했습니다.World ID의 신원 인증 기능은 독일에서 시작되며, 사용자는 생체 인식 데이터를 사용하는 맞춤형 하드웨어인 Orbs를 통해 전체 인증을 받을 수 있으며, 이 하드웨어는 베를린에서 시작하여 전국적으로 판매될 예정입니다.Okta의 Auth0 마켓플레이스에서는 이제 Worldcoin 로그인 옵션을 제공하여 개발자가 애플리케이션의 로그인 옵션으로 사용할 수 있는 인증 솔루션을 제공합니다.（ CoinDesk）