Theo Foresight News, Giám đốc An ninh thông tin 23pds của SlowMist đã báo cáo rằng Okta cho phép bất kỳ tên người dùng nào vượt quá 52 ký tự bỏ qua bước đăng nhập.
Ngoài ra, nhà cung cấp phần mềm quản lý danh tính và truy cập Okta đã thông báo rằng vào ngày 30 tháng 10, một lỗ hổng nội bộ đã được phát hiện trong khi tạo khóa bộ nhớ đệm cho AD/LDAP DelAuth. Thuật toán Bcrypt đã được sử dụng để tạo khóa bộ nhớ đệm bằng cách băm chuỗi kết hợp của userId, tên người dùng và mật khẩu. Trong các điều kiện cụ thể, điều này có thể cho phép người dùng xác thực bằng cách cung cấp khóa bộ nhớ đệm đã lưu trữ từ một lần xác thực thành công trước đó. Điều kiện tiên quyết cho lỗ hổng này là tên người dùng phải bằng hoặc vượt quá 52 ký tự mỗi lần tạo khóa bộ nhớ đệm cho người dùng. Các sản phẩm và phiên bản bị ảnh hưởng là Okta AD/LDAP DelAuth cho đến ngày 23 tháng 7 năm 2024. Lỗ hổng này đã được khắc phục trong môi trường sản xuất của Okta vào ngày 30 tháng 10 năm 2024.
