Як повідомляє Foresight News, керівник інформаційної безпеки SlowMist 23pds повідомив, що Okta дозволяла будь-якому імені користувача, що перевищує 52 символи, обходити вхід.
Крім того, постачальник програмного забезпечення для керування ідентифікацією та доступом Okta оголосив, що 30 жовтня під час генерації ключів кешу для AD/LDAP DelAuth було виявлено внутрішню вразливість. Алгоритм Bcrypt використовувався для генерації ключів кешу шляхом хешування рядка комбінації ідентифікатора користувача, імені користувача та пароля. За певних умов це може дозволити користувачам автентифікуватися, надаючи збережений ключ кешу від попередньої успішної автентифікації. Передумовою для цієї вразливості було те, що ім’я користувача має дорівнювати або перевищувати 52 символи щоразу, коли для користувача генерується ключ кешу. Постраждалі продукти та версії Okta AD/LDAP DelAuth до 23 липня 2024 р. Цю вразливість було усунено у робочому середовищі Okta 30 жовтня 2024 р.