Según Foresight News, el director de seguridad informática de SlowMist, 23pds, informó que Okta permitía que cualquier nombre de usuario que excediera los 52 caracteres omitiera el inicio de sesión.
Además, el proveedor de software de gestión de identidad y acceso Okta anunció que el 30 de octubre se descubrió una vulnerabilidad interna al generar claves de caché para AD/LDAP DelAuth. El algoritmo Bcrypt se utilizó para generar claves de caché mediante el hash de una cadena combinada de ID de usuario, nombre de usuario y contraseña. En condiciones específicas, esto podría permitir a los usuarios autenticarse proporcionando una clave de caché almacenada de una autenticación exitosa anterior. El requisito previo para esta vulnerabilidad era que el nombre de usuario debía ser igual o superior a 52 caracteres cada vez que se generaba una clave de caché para el usuario. Los productos y versiones afectados fueron Okta AD/LDAP DelAuth hasta el 23 de julio de 2024. Esta vulnerabilidad se resolvió en el entorno de producción de Okta el 30 de octubre de 2024.