Potrivit Foresight News, Chief Information Security Officer 23pds al SlowMist a raportat că Okta a permis oricărui nume de utilizator care depășește 52 de caractere să ocolească autentificarea.
În plus, furnizorul de software de gestionare a identității și a accesului Okta a anunțat că pe 30 octombrie, a fost descoperită o vulnerabilitate internă în timp ce genera chei de cache pentru AD/LDAP DelAuth. Algoritmul Bcrypt a fost folosit pentru a genera chei de cache prin hashing un șir combinat de userId, nume de utilizator și parolă. În anumite condiții, acest lucru ar putea permite utilizatorilor să se autentifice prin furnizarea unei chei cache stocate dintr-o autentificare de succes anterior. Condiția prealabilă pentru această vulnerabilitate a fost ca numele de utilizator să fie egal sau să depășească 52 de caractere de fiecare dată când a fost generată o cheie cache pentru utilizator. Produsele și versiunile afectate au fost Okta AD/LDAP DelAuth până la 23 iulie 2024. Această vulnerabilitate a fost rezolvată în mediul de producție Okta pe 30 octombrie 2024.