近期,微软遭遇了一起内部系统故障事件,该事件导致上周部分Entra账号被锁定,波及范围涉及多个组织。
据悉,这次事件的起因是微软内部系统在处理用户短期刷新令牌(user refresh tokens)时出现了错误。按照标准流程,系统本应只记录令牌的元数据(metadata),但此次却错误地记录了部分用户的实际令牌信息。
问题发生在4月18日,微软及时发现并修正了这一错误。为保护用户账户安全,公司决定对涉及错误的令牌进行失效处理。然而,这一操作意外触发了Entra ID Protection系统的安全警报,系统误判用户凭据可能已泄露,因此自动锁定了相关账户。
最初,受影响的客户误以为账户锁定与新部署的企业应用程序“MACE Credential Revocation”有关,因为该应用程序恰好在警报发出前不久被安装。这一误解给问题的排查带来了一定困扰。
随后,微软向受影响组织的管理员发送了咨询意见,明确指出问题的根源在于公司内部系统错误,并非新应用程序所致。微软还强调,目前没有证据表明这些令牌遭到了未经授权的访问。一旦发现任何未经授权访问的迹象,微软将立即启动标准的安全事件响应和沟通程序。
为了恢复受影响账户的访问权限,微软建议受影响的客户在Microsoft Entra中为标记的用户提供“确认用户安全”的反馈。同时,微软承诺将在调查结束后发布事件后审查报告(PIR),并分享给所有受影响的客户,以便他们了解事件的详细情况和微软的应对措施。
此次事件再次提醒了企业和个人用户,网络安全无小事,任何微小的系统错误都可能带来严重的连锁反应。因此,加强网络安全意识,完善网络安全措施,对于保障个人和组织的信息安全至关重要。
