Sejumlah admin IT kelimpungan setelah akun-akun pengguna mereka tiba-tiba terkunci massal. Ternyata, biangnya adalah fitur baru dari Microsoft Entra ID bernama “MACE Credential Revocation” yang diluncurkan baru-baru ini. Fitur ini dirancang untuk mendeteksi kredensial (username dan password) yang bocor, tapi sayangnya malah salah mendeteksi alias false positive.
Masalah ini mulai muncul sejak semalam. Beberapa admin melaporkan bahwa sekitar sepertiga akun di organisasi mereka terkunci. Yang bikin bingung, akun-akun tersebut punya password unik dan gak pernah dipakai di situs lain—jadi mustahil bocor, dong?
Microsoft Entra ID sendiri (dulunya Azure Active Directory) adalah layanan manajemen identitas berbasis cloud yang biasa dipakai perusahaan buat mengelola akses pengguna ke berbagai sistem dan aplikasi.
Di Reddit, para admin mulai mengeluhkan hal yang sama. Mereka menerima notifikasi dari Entra bahwa akun-akun pengguna ditemukan pakai kredensial yang bocor dan langsung dikunci dari sistem. Bahkan ada yang bilang mereka menerima lebih dari 20.000 notifikasi dari Microsoft semalam terkait akun-akun klien mereka!
Padahal, setelah dicek, akun-akun tersebut tidak menunjukkan tanda-tanda diretas dan sudah dilindungi oleh autentikasi dua faktor (MFA). Layanan seperti Have I Been Pwned juga gak menunjukkan bahwa data login itu bocor.
Belum ada konfirmasi resmi dari Microsoft soal penyebabnya, tapi ada satu organisasi yang sudah dikasih tahu oleh pihak Microsoft bahwa masalah ini berkaitan dengan peluncuran aplikasi baru bernama “MACE Credential Revocation.”
Seorang admin bahkan menyebut di Reddit:
“Baru aja ngobrol sama engineer-nya. Ternyata ini memang Tenant Lockout gara-gara peluncuran ninja MACE. Gak ada tanda akun diretas. Engineer-nya cuma butuh waktu sejam buat ubah status tiket dari kompromi ke lockout.”
Dari laporan yang ada, aplikasi ini memang baru saja muncul di sistem tenant sebelum notifikasi bermunculan.
MACE Credential Revocation sebenarnya punya tujuan mulia: mengamankan akun dari kebocoran data. Tapi karena salah deteksi, justru malah bikin ribet admin dan pengguna. Sampai berita ini ditulis, Microsoft belum memberikan pernyataan resmi terkait insiden ini.