Laut Foresight News berichtete 23pds, Chief Information Security Officer von SlowMist, dass Okta jedem Benutzernamen mit mehr als 52 Zeichen erlaubte, die Anmeldung zu umgehen.
Darüber hinaus gab Okta, Anbieter von Identitäts- und Zugriffsverwaltungssoftware, bekannt, dass am 30. Oktober beim Generieren von Cache-Schlüsseln für AD/LDAP DelAuth eine interne Schwachstelle entdeckt wurde. Der Bcrypt-Algorithmus wurde zum Generieren von Cache-Schlüsseln verwendet, indem eine Kombinationszeichenfolge aus Benutzer-ID, Benutzername und Passwort gehasht wurde. Unter bestimmten Bedingungen könnte dies Benutzern die Authentifizierung ermöglichen, indem sie einen gespeicherten Cache-Schlüssel aus einer zuvor erfolgreichen Authentifizierung angeben. Voraussetzung für diese Schwachstelle war, dass der Benutzername bei jeder Generierung eines Cache-Schlüssels für den Benutzer mindestens 52 Zeichen lang sein muss. Die betroffenen Produkte und Versionen waren Okta AD/LDAP DelAuth bis zum 23. Juli 2024. Diese Schwachstelle wurde am 30. Oktober 2024 in der Produktionsumgebung von Okta behoben.