Menurut Foresight News, Kepala Keamanan Informasi SlowMist 23pds melaporkan bahwa Okta mengizinkan nama pengguna yang melebihi 52 karakter untuk melewati proses login.
Selain itu, penyedia perangkat lunak manajemen identitas dan akses Okta mengumumkan bahwa pada tanggal 30 Oktober, kerentanan internal ditemukan saat membuat kunci cache untuk AD/LDAP DelAuth. Algoritme Bcrypt digunakan untuk membuat kunci cache dengan melakukan hashing pada string kombinasi userId, nama pengguna, dan kata sandi. Dalam kondisi tertentu, hal ini dapat memungkinkan pengguna untuk melakukan autentikasi dengan memberikan kunci cache yang tersimpan dari autentikasi yang berhasil sebelumnya. Prasyarat untuk kerentanan ini adalah nama pengguna harus sama dengan atau melebihi 52 karakter setiap kali kunci cache dibuat untuk pengguna. Produk dan versi yang terpengaruh adalah Okta AD/LDAP DelAuth hingga tanggal 23 Juli 2024. Kerentanan ini telah diatasi di lingkungan produksi Okta pada tanggal 30 Oktober 2024.