Selon Foresight News, le responsable de la sécurité des informations de SlowMist, 23pds, a signalé qu'Okta autorisait tout nom d'utilisateur dépassant 52 caractères à contourner la connexion.
De plus, le fournisseur de logiciels de gestion des identités et des accès Okta a annoncé que le 30 octobre, une vulnérabilité interne avait été découverte lors de la génération de clés de cache pour AD/LDAP DelAuth. L'algorithme Bcrypt a été utilisé pour générer des clés de cache en hachant une chaîne combinée d'identifiant utilisateur, de nom d'utilisateur et de mot de passe. Dans certaines conditions, cela pourrait permettre aux utilisateurs de s'authentifier en fournissant une clé de cache stockée à partir d'une authentification réussie précédemment. La condition préalable à cette vulnérabilité était que le nom d'utilisateur soit égal ou supérieur à 52 caractères chaque fois qu'une clé de cache était générée pour l'utilisateur. Les produits et versions concernés étaient Okta AD/LDAP DelAuth jusqu'au 23 juillet 2024. Cette vulnérabilité a été résolue dans l'environnement de production d'Okta le 30 octobre 2024.