Microsoft Entra Hesap Kilitlenmelerinin Günlükleme Hatasından Kaynaklandığı Açıklandı

Microsoft, hafta sonu birçok kuruluşta meydana gelen Entra hesap kilitlenmelerinin, kullanıcıya ait kısa ömürlü oturum belirteçlerinin (refresh token) şirketin dahili sistemlerine yanlışlıkla kaydedilmesinden kaynaklandığını açıkladı.

Kilitlenmelere “MACE Credential Revocation” Uygulaması mı Sebep Oldu?

Cumartesi sabahı itibarıyla birçok kurum, Microsoft Entra üzerinden kullanıcı hesaplarında kimlik bilgisi sızıntısı yaşandığına dair uyarılar almaya başladı. Bu uyarılar doğrultusunda ilgili hesaplar otomatik olarak kilitlendi.

Olaydan etkilenen bazı müşteriler, uyarıların hemen öncesinde yüklenen “MACE Credential Revocation” adlı yeni bir kurumsal uygulamanın bu duruma yol açtığını düşündü. Ancak kısa süre sonra Microsoft’un yaptığı açıklama, olayın çok farklı bir teknik hatadan kaynaklandığını ortaya koydu.

Etkilenen kurumlardan birinin yöneticisi, Microsoft tarafından gönderilen bir bilgilendirme mesajını paylaştı. Bu bildirime göre, normal şartlarda yalnızca belirteçlerin (token) üst verileri kaydedilmeliyken, bu kez doğrudan gerçek kullanıcı belirteçleri günlüklenmişti.

Microsoft, bu hatayı fark ettikten sonra belirteçleri geçersiz kılmak için bir işlem başlattı. Ancak bu süreçte sistem, kullanıcı kimlik bilgilerinin sızdırılmış olabileceği yönünde sahte alarmlar üretti. Bu da Entra sisteminde hesapların güvenlik nedeniyle kilitlenmesine yol açtı.

Microsoft’un Reddit üzerinden yaptığı açıklamada şu ifadeler yer aldı:

“18 Nisan 2025 Cuma günü, kısa ömürlü kullanıcı belirteçlerinin küçük bir kısmının yanlışlıkla sistemlerimize kaydedildiğini tespit ettik. Normalde yalnızca bu belirteçlerin üst verileri kaydedilir. Hata düzeltildikten sonra, güvenlik amacıyla bu belirteçleri geçersiz kılmak için bir işlem uygulandı. Ancak bu işlem, kullanıcı kimlik bilgilerinin ele geçirilmiş olabileceğini belirten Entra ID Protection uyarılarını tetikledi.”

Söz konusu alarmlar, 20 Nisan 2025 saat 04.00 ile 09.00 UTC arasında gönderildi. Microsoft, şu anda belirteçlere yetkisiz bir erişim olduğunu gösteren herhangi bir kanıta ulaşmadığını belirtiyor. Şayet yetkisiz erişim tespit edilirse, standart güvenlik süreçlerinin devreye alınacağı ifade ediliyor.

Microsoft, uyarı alan kuruluşların, Microsoft Entra üzerinde “Kullanıcı Güvenli” (Confirm User Safe) geri bildirimini kullanarak kullanıcıların hesap erişimini geri kazanabileceklerini bildirdi. Olayın ardından Microsoft, yaşanan süreci ayrıntılarıyla ele alan bir Olay Sonrası Değerlendirme Raporu (PIR) yayımlayacağını ve bu raporu etkilenen tüm müşterilerle paylaşacağını açıkladı.