Dalam nasihat keamanan baru, Okta mengungkapkan bahwa sistemnya memiliki kerentanan yang memungkinkan orang untuk masuk ke akun tanpa harus memberikan kata sandi yang benar. Okta melewati otentikasi kata sandi jika akun tersebut memiliki nama pengguna yang memiliki 52 karakter atau lebih. Selanjutnya, sistemnya harus mendeteksi “kunci cache yang tersimpan” dari autentikasi yang berhasil sebelumnya, yang berarti pemilik akun harus memiliki riwayat login sebelumnya menggunakan browser tersebut. Hal ini juga tidak memengaruhi organisasi yang memerlukan autentikasi multifaktor, menurut pemberitahuan yang dikirimkan perusahaan kepada penggunanya.
Namun, nama pengguna sepanjang 52 karakter lebih mudah ditebak daripada kata sandi acak — bisa sesederhana alamat email seseorang yang memiliki nama lengkap beserta domain situs web organisasinya. Perusahaan telah mengakui bahwa kerentanan tersebut diperkenalkan sebagai bagian dari pembaruan standar yang dirilis pada tanggal 23 Juli 2024 dan baru menemukan (dan memperbaiki) masalah tersebut pada tanggal 30 Oktober. Kini perusahaan menyarankan pelanggan yang memenuhi semua ketentuan kerentanan untuk periksa log akses mereka selama beberapa bulan terakhir.
Okta menyediakan software yang memudahkan perusahaan untuk menambahkan layanan otentikasi pada aplikasinya. Untuk organisasi yang memiliki banyak aplikasi, ini memberi pengguna akses ke satu login terpadu sehingga mereka tidak perlu memverifikasi identitas mereka untuk setiap aplikasi. Perusahaan tidak mengatakan apakah mereka mengetahui siapa saja yang terkena dampak masalah khusus ini, namun berjanji untuk “berkomunikasi lebih cepat dengan pelanggan” di masa lalu setelah kelompok ancaman Lapsus$ mengakses beberapa akun pengguna.