Microsoft, hafta sonu Entra hesap kilitlemelerinin, yanlışlıkla dahili sistemlere kaydedilen kısa ömürlü kullanıcı yenileme jetonlarının geçersiz kılınmasından kaynaklandığını doğrular.
Cumartesi sabahı, çok sayıda kuruluş, hesapların kimlik bilgilerini sızdırdığını ve hesapların otomatik olarak kilitlenmesine neden olan Microsoft Entra uyarıları almaya başladıklarını bildirdi.
Etkilenen müşteriler başlangıçta hesap kilitlemelerinin, uyarılar verilmeden birkaç dakika önce yüklenen “Mace kimlik bilgisi iptali” adlı yeni bir işletme uygulamasının sunulmasına bağlı olduğunu düşündü.
Bununla birlikte, etkilenen kuruluşlardan biri için bir yönetici, Microsoft tarafından sorunun, şirketin sadece meta verilerinden ziyade etkilenen hesabın kullanıcı yenileme belirteçlerini yanlışlıkla günlüğe kaydetmesinden kaynaklandığını belirten bir danışmanlığı paylaştı.
Gerçek hesap jetonlarını kaydettiklerini fark ettikten sonra, yanlışlıkla uyarıları ve lokavtları oluşturan onları geçersiz kılmaya başladılar.
Microsoft’un Reddit’te yayınlanan bir danışmanlığı, “4/18/25 Cuma günü Microsoft, kullanıcıların küçük bir yüzdesi için kısa ömürlü kullanıcı yenileme jetonlarının bir alt kümesini dahili olarak günlüğe kaydeddiğini belirledi, oysa standart günlük kayma işlemimiz sadece bu jetonlar hakkında meta verileri kaydetmektir.”
Diyerek şöyle devam etti: “Dahili günlüğü sorunu derhal düzeltildi ve ekip, müşterileri korumak için bu jetonları geçersiz kılmak için bir prosedür gerçekleştirdi. Geçersiz kılma sürecinin bir parçası olarak, entra kimlik korumasında kullanıcının kimlik bilgilerini gösteren uyarılar ürettik.”
Diyerek şöyle devam etti: “Bu uyarılar 4/20/25 4/25 UTC ve 4/20/25 09:00 UTC arasında gönderildi. Bu belirteçlere yetkisiz erişim belirtimiz yok – ve herhangi bir yetkisiz erişim olduğunu belirlersek, standart güvenlik olayı yanıtı ve iletişim süreçlerimizi çağıracağız.”
Microsoft, etkilenen müşterilerin, işaretlenmiş kullanıcının hesaplarına erişimi geri yüklemesi için Microsoft Entra’daki “Kullanıcı Güvenli Güvenli” geri bildirimlerini verebileceğini söylüyor.
Şirket, soruşturma bittikten sonra bir olay sonrası inceleme (PIR) yayınlayacaklarını ve bu da etkilenen tüm müşterilerle paylaşılacaklarını söylüyor.
BleepingComputer da Cumartesi günü Microsoft ile temasa geçti, ancak olayla ilgili sorularımıza henüz bir cevap almadı.