Microsoft ยืนยันว่าเหตุการณ์บัญชี Entra ถูกล็อกในช่วงสุดสัปดาห์ที่ผ่านมา เกิดจากการที่ refresh tokens ของผู้ใช้ถูกยกเลิกโดยไม่ได้ตั้งใจ เนื่องจากมีการ logged token เหล่านั้นลงในระบบภายในของบริษัทอย่างไม่ถูกต้อง
เช้าวันเสาร์ที่ผ่านมา องค์กรหลายแห่งรายงานว่าได้รับการแจ้งเตือนจาก Microsoft Entra ระบุว่ามีการรั่วไหลของข้อมูลทำให้ระบบดำเนินการล็อกบัญชีเหล่านั้นโดยอัตโนมัติ
ลูกค้าที่ได้รับผลกระทบหลายรายเข้าใจในตอนแรกว่า การล็อกบัญชีนั้นเกิดจากการเปิดใช้งานแอปพลิเคชันสำหรับองค์กรตัวใหม่ชื่อว่า "MACE Credential Revocation" ซึ่งถูกติดตั้งไปไม่กี่นาทีก่อนที่การแจ้งเตือนจะปรากฏ
อย่างไรก็ตาม ผู้ดูแลระบบจากหนึ่งในองค์กรที่ได้รับผลกระทบได้แชร์คำแนะนำที่ส่งโดย Microsoft ซึ่งระบุว่า ปัญหาดังกล่าวเกิดจากการที่บริษัทได้ logging user refresh tokens ที่ได้รับผลกระทบโดยไม่ตั้งใจ แทนที่จะ log แค่ metadata เท่านั้น
หลังจากรู้ว่าได้ logged token บัญชีผู้ใช้จริง พวกเขาจึงเริ่มดำเนินการยกเลิก token เหล่านั้น ซึ่งทำให้เกิดการแจ้งเตือน และการล็อกบัญชีโดยไม่ได้ตั้งใจ
เมื่อวันศุกร์ที่ 18 เมษายน 2025 คำแนะนำจาก Microsoft ที่โพสต์ใน Reddit ระบุว่า "บริษัทได้ logging user refresh tokens ระยะสั้นบางส่วนสำหรับผู้ใช้จำนวนเล็กน้อยในระบบภายใน ซึ่งกระบวนการ logging ตามมาตรฐานของเราคือการ log แค่ metadata ของ token เหล่านี้”
“ปัญหาการ logging ข้อมูลภายในได้รับการแก้ไขทันที และทีมงานได้ดำเนินการเพื่อยกเลิก token เหล่านี้เพื่อปกป้องลูกค้า ในกระบวนการยกเลิก token เราได้สร้างการแจ้งเตือนใน Entra ID Protection โดยไม่ได้ตั้งใจ ซึ่งระบุว่าข้อมูล credentials ของผู้ใช้อาจถูกบุกรุก”
“การแจ้งเตือนเหล่านี้ถูกส่งระหว่างวันที่ 20 เมษายน 2025 เวลา 04:00 ถึง 09:00 UTC แต่ไม่มีข้อมูลที่แสดงให้เห็นว่ามีการเข้าถึง token เหล่านี้โดยไม่ได้รับอนุญาต และหากเราตรวจพบว่ามีการเข้าถึงโดยไม่ได้รับอนุญาต เราจะดำเนินการตามกระบวนการตอบสนองต่อเหตุการณ์ความปลอดภัย และกระบวนการสื่อสารตามมาตรฐานของเรา”
Microsoft ระบุว่า พวกเขาจะเผยแพร่ผลการตรวจสอบหลังเกิดเหตุ (PIR) หลังจากการสอบสวนเสร็จสิ้น ซึ่งจะมีการแชร์กับลูกค้าทั้งหมดที่ได้รับผลกระทบ
BleepingComputer ได้ติดต่อ Microsoft เมื่อวันเสาร์ที่ผ่านมา แต่ยังไม่ได้รับคำตอบเกี่ยวกับเหตุการณ์นี้
ที่มา: bleepingcomputer
You must be logged in to post a comment.