מיקרוסופט ניסתה להגן עליכם אבל בטעות נעלה אתכם בחוץ
תקלה פנימית בלוגים של מיקרוסופט גרמה לנעילת חשבונות המונית במערכת Entra ID
תמונה: dreamstime
אין הרבה דברים יותר מתסכלים מתקלה שנופלת עליך בדיוק בסוף השבוע, וגורמת לך להתיישב מול המחשב במקום ליהנות מעוד פרק בסדרה שכבר הבטחת ליותר מדי אנשים שאתה אוטוטו מסיים. אבל לפחות יש נחמה קטנה אם זה לא רק אתה, אלא עשרות אדמינים ברחבי העולם שנמצאים באותו סרט בדיוק.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
כך נראו השעות הראשונות של יום שבת, כשמערכת Entra ID של מיקרוסופט פתחה מבול של התראות על דליפת פרטי גישה. החשבונות ננעלו אוטומטית, המשתמשים נותקו, והאצבע הופנתה לאפליקציית האבטחה החדשה MACE Credential Revocation. רק שבפועל, זו בכלל הייתה תקלה בלוגינג פנימי וכמה פעולות הגנה שהיו טובות מהמצופה.
מיקרוסופט עצמה אישרה את זה רק מאוחר יותר. בהודעה רשמית שהופצה דרך פורומים פנימיים ורדיט, נכתב כי ביום שישי החברה זיהתה שבמקום לתעד רק את המטא־דאטה של טוקני רענון קצרי־חיים (refresh tokens), היא תיעדה בטעות את התוכן המלא של הטוקנים עצמם. התקלה תוקנה מיד, אבל כדי למנוע כל סיכון בוצע ביטול גורף של הטוקנים שנשמרו. ואז התחיל הבלאגן: התראות שווא שמסמנות את פרטי הגישה ככאלה שנפרצו, ונעילה אוטומטית של חשבונות.
בלאגן על הבוקר
ההתראות נשלחו למנהלי מערכות בטווח של חמש שעות בין 04:00 ל־09:00 בבוקר ביום ראשון, כשרוב העולם עדיין נהנה מהסופ"ש שלו, גם אם אתם הייתם כבר בריצת הבוקר או בדרך לפתוח שבוע במשרד, והובילו לנעילה גורפת של משתמשים בארגונים שונים. מה שהפך את הסיפור למבלבל במיוחד הוא שעבור רבים מהחשבונות שננעלו, כלל לא הייתה סיסמה אלא אמצעי זיהוי מבוססי טוקן, כרטיס חכם או שיטות אחרות שכביכול לא אמורות להופיע בהדלפות. במילים אחרות: המערכת ניסתה להגן – וירתה לעצמה ברגל.
כדי לשחרר את החשבונות שנפגעו, מיקרוסופט ממליצה לאדמינים להשתמש באופציית "Confirm User Safe" בממשק Entra ID. חשוב לוודא שהתראה על סיכון בחשבון התעדכנה בדיוק בשעות שבהן נשלחו ההתראות השגויות כדי לא למחוק בטעות התראה אמיתית. מי שרוצה להיות בטוח לחלוטין יכול גם לאפס סיסמה. בינתיים, מיקרוסופט הבטיחה לפרסם דו"ח תחקיר רשמי (PIR) ברגע שהבדיקה תושלם, והוא יועבר לכל הארגונים שנפגעו.
אבל גם בלי הדו"ח, כבר אפשר להפיק לקחים. העובדה שאפליקציית אבטחה חדשה, שנועדה לזהות חשבונות בסיכון, גרמה בעצמה לנעילה המונית, מעידה משהו על האיזון העדין בין תגובת יתר לבין תגובת חסר. במערכת שאמורה לעבוד אוטונומית, כל שינוי קטן בלוגיקה עלול להפוך בקלות לאירוע מערכתי. ובינתיים, אם מישהו שואל, כן, ראינו את הפרק ההוא. לא נוכל לדבר עליו השבוע, יש לנו עוד סדרות להשלים עד התקלה הבאה.
