De acordo com o Foresight News, o diretor de segurança da informação da SlowMist, 23pds, relatou que a Okta permitia que qualquer nome de usuário com mais de 52 caracteres ignorasse o login.
Além disso, o provedor de software de gerenciamento de identidade e acesso Okta anunciou que, em 30 de outubro, uma vulnerabilidade interna foi descoberta ao gerar chaves de cache para AD/LDAP DelAuth. O algoritmo Bcrypt foi usado para gerar chaves de cache por meio do hash de uma sequência de combinação de userId, username e password. Sob condições específicas, isso poderia permitir que os usuários se autenticassem fornecendo uma chave de cache armazenada de uma autenticação bem-sucedida anteriormente. O pré-requisito para essa vulnerabilidade era que o nome de usuário deve ser igual ou superior a 52 caracteres cada vez que uma chave de cache fosse gerada para o usuário. Os produtos e versões afetados foram Okta AD/LDAP DelAuth até 23 de julho de 2024. Essa vulnerabilidade foi resolvida no ambiente de produção da Okta em 30 de outubro de 2024.