Microsoft Authenticator açığı MFA hesaplarını üzerine yazıp kullanıcıları kilitliyor
(csoonline.com)- MFA kullanımının arttığı bir dönemde Microsoft Authenticator, QR koduyla eklenen yeni TOTP hesabı nedeniyle mevcut hesabın üzerine yazıp kullanıcıyı hesabından kilitleyebiliyor
- Çakışmanın temelinde, hesapları ayırmak için yalnızca label kullanan tasarım yer alıyor; Google Authenticator ve Okta gibi uygulamalarda olduğu gibi issuer ile label birlikte kullanılmıyor
- Üzerine yazma durumu hemen fark edilmediği için kullanıcılar, haftalar ya da aylar sonra eski hesaba erişmeye çalıştıklarında ancak erişim kaybı yaşayabiliyor
- Geçici çözüm olarak başka bir doğrulama uygulaması kullanmak ya da Secret Key'i elle girmek mümkün, ancak kurumsal ortamdaki sıradan kullanıcılar için bu pek pratik değil
- Microsoft bunun amaçlanan davranış olduğunu ve bir uyarı mesajı sunduğunu söyledi; daha sonra bazı sağlayıcılarda issuer eksikliği gerekçesini öne sürerek yalnızca ileride iyileştirme ihtimaline açık kapı bıraktı
QR taraması mevcut MFA hesabının üzerine nasıl yazıyor
- Microsoft Authenticator, yeni bir hesabı QR taraması ile eklerken aynı kullanıcı adına sahip mevcut bir hesabın üzerine yazabiliyor
- Kullanıcı adı olarak çoğu zaman e-posta adresi kullanıldığından, farklı servislerin MFA hesaplarının aynı label'ı paylaşması yaygın bir durum
- Google Authenticator ve diğer doğrulama uygulamalarının çoğu, çakışmayı önlemek için banka ya da otomotiv şirketi gibi issuer adını da birlikte kullanıyor
- Microsoft Authenticator ise issuer'ı birlikte kullanmıyor ve hesabı yalnızca kullanıcı adına göre tanımlıyor
- Üzerine yazma sonrasında hem yeni oluşturulan hesapta hem de üzerine yazılan eski hesapta doğrulama sorunları yaşanabiliyor
Fark edilmesi zor hesap kilitlenmesi
- Kilitlenme yaşandığında kullanıcılar bunun Microsoft Authenticator'dan değil, doğrulamayı sağlayan şirketten kaynaklandığını sanabiliyor
- Sonuç olarak kurumsal help desk ekipleri, kendi oluşturmadıkları bir sorunu çözmek için zaman harcamak zorunda kalabiliyor
- Hangi hesabın üzerine yazıldığını kolayca görmek mümkün değil
- Mevcut hesabın kaybolduğu gerçeği, kullanıcı o hesabı yeniden kullanmaya çalışana kadar ortaya çıkmayabiliyor
- Bu da haftalar ya da aylar sonra olabilir
Geçici çözümler ve eski şikayetler
- En kolay geçici çözüm, Microsoft Authenticator yerine başka bir doğrulama uygulaması kullanmak
- QR kod taraması yerine Secret Key elle girilirse sorun önlenebiliyor
- Microsoft hesabına bağlı doğrulama hesaplarında bu sorunun görünmediği anlaşılıyor
- CSO Online, bu sorunla ilgili şikayetlerin 2020'ye kadar uzandığını doğruladı; sorunun kendisinin ise Microsoft Authenticator'ın Haziran 2016'daki çıkışından beri var olduğu düşünülüyor
- 2020'de bir kullanıcı, Identity Provider Secret Key'inin elle girilmesine dayanan bir geçici çözümden söz etti; ancak kurumsal ortamdaki ortalama son kullanıcı için rastgele dizelerle uğraşmanın faydalı olmadığı değerlendirildi
Sahada yeniden üretilen üzerine yazma sorunu
- Avustralyalı BT danışmanı Brett Randall, bir tedarikçi eğitim oturumunda katılımcıların Microsoft Authenticator ile MFA QR kodlarını tararken başka bir uygulamanın TOTP anahtarının üzerine yazıldığı durumlar yaşadığını aktardı
- Randall'a göre MFA QR kodu birden çok değer içeren bir dize oluşturuyor ve diğer uygulamalar label ile issuer'ı birleştirerek ilgili anahtarın benzersiz kimliğini oluşturuyor
- Microsoft Authenticator ise bu standart davranış yerine yalnızca label kullanıyor; bu label da genellikle e-posta adresi oluyor
- Aynı e-posta adresini kullanan son TOTP anahtarı yeni anahtarla üzerine yazılabiliyor
- Randall, Microsoft'un bu sorunu fark edip harekete geçmesini sağlamanın neredeyse imkansız olduğunu söyledi
Güvenlik ve BT uzmanlarının tepkileri
- CSO Online, çeşitli güvenlik ve BT uzmanlarından sorunu yeniden üretmelerini istedi ve hepsi bunu başardı
- IllumineX'in fractional CTO'su Gary Longsine, bunu bir tasarım kusuru olarak gördüğünü ve Microsoft Authenticator'ı tavsiye etmeyeceğini söyledi
- Wallarm ürün başkan yardımcısı Tim Erlin, aynı e-posta adresine sahip ikinci bir giriş eklendiğinde çakışma oluştuğunu ve üzerine yazma sonrası hangi hesabın etkilendiğinin anlaşılamadığını söyledi
- Erlin, kullanıcıların nedenini bilmeyebileceği için bu sorunun gerçekte olduğundan daha az biliniyor olabileceğini belirtti
- Netography chief product officer'ı David Meltzer, sorunu bizzat yeniden ürettikten sonra bunun açık bir bug olduğunu ve Microsoft'un düzeltmesinin görece kolay olduğunu söyledi
- Google sözcüsü Kimberly Samra, Google Authenticator'ın kodların üzerine yazmadığını ve bunun bilinçli bir karar olduğunu söyledi
Microsoft'un tutumu ve uyarı metni
- Microsoft sorunu doğruladı ancak bunun bir bug değil, amaçlanan davranış olduğunu belirtti
- İlk yazılı açıklamasında, kullanıcı QR kodunu taradığında hesap ayarlarının üzerine yazabilecek bir işlemden önce bir onay mesajı gördüğünü anlattı
- Gerçek uyarı metni şöyle: “This action will overwrite existing security information for your account. To prevent being locked out of your account, continue only if you initiated this action from a trusted source.”
- Bu ifade, kullanıcı işlemi kendisi başlattıysa ve kaynak güvenilirse devam etmesini söylüyor
- Banka ya da otel gibi meşru hizmetlerde kullanıcı QR taramasını kendisi başlattığında bu iki koşul çoğu zaman sağlanmış oluyor
- Talimat izlenirse hesabın üzerine yazılabiliyor
- Uyarı penceresi, doğrulama girişiminden vazgeçmek dışında üzerine yazmayı önleyecek bir yol sunmuyor
issuer eksikliği etrafındaki sorumluluk tartışması
- Microsoft daha sonra verdiği daha uzun ikinci açıklamada, bazı site veya tedarikçilerin label içinde issuer'ı, yani site adını ya da Identity Provider adını, belirtmediğini söyledi
- Aynı label'a sahip mevcut bir hesap varsa uygulama, yeni taranan TOTP hesabıyla mevcut hesabın üzerine yazmaya çalışabiliyor
- Microsoft, bu durumda kullanıcının her zaman bir üzerine yazma onay mesajı aldığını ve devam edip etmeme seçeneğine sahip olduğunu belirtti
- “Ürünü geliştirmeye devam ediyoruz ve bunu dikkate alarak gelecekteki iyileştirmelere uygulayacağız” ifadesi, Microsoft'un sorunu düzeltebileceğine işaret eden tek cümle oldu
Diğer doğrulama uygulamalarıyla karşılaştırma
- Randall, son kullanıcıların yanlışlıkla diğer uygulamalardaki anahtarların üzerine yazmasını önlemek için iki yol olduğunu düşünüyor
- Tüm uygulamaların otpauth yapılarını denetlemek ve her şirketi hatalı uygulamaları düzeltmeye ikna etmek
- Microsoft'un bir kez düzeltme yapması ve sonrasında kimsenin aynı kaygıyı yaşamaması
- Randall, 14 farklı doğrulama uygulamasında aynı çakışma davranışını test ettiğini ancak Microsoft Authenticator ile aynı davranışa rastlamadığını söyledi
- Test edilen uygulamalar arasında Google Authenticator, Okta Verify, Duo Mobile, LastPass Authenticator, 2FA Authenticator, Twilio Authy, Salesforce Authenticator, OneAuth, ForgeRock Authenticator, Authenticator 7, Authenticator App, Auth0 Guardian, OTP Auth ve Authenticator 2FA Sentinel yer aldı
1 yorum
Hacker News görüşleri
Kullanılabilirliği olmayan güvenlik sorununu gösteren küçük ama gerçekten etkileyici bir örnek
“Güvenlik” adına yaşadığımız saçma şeyleri düşünmek yeterli: zorunlu periyodik parola değişiklikleri, çılgın parola kuralları, deneme yanılmayla öğrenilmesi gereken belgelenmemiş gereksinimler, güvenlik jargonuyla dolu karmaşık hata mesajları, cevabını hatırlamadığınız “gizli sorular” gibi şeyler
Oysa bu sistemlerin kendi güvenliği elek gibi delik deşik. Veri sızıntıları ve bilgi ifşaları neredeyse her gün haber oluyor; bazen bunun nasıl böyle sürüp gittiğini merak ediyorum
Aylar boyunca her girişte “hesabımı bul” seçeneğini kullanmak zorunda kaldım ve her seferinde kullanıcı adını yeniden e-posta adresime ayarladım. Neredeyse 10 yıl boyunca giriş bilgim bu olduğu için bu gayet doğaldı
Kullanıcı adında
@veya.kullanılamayacağı kısıtı, oturum açma aşamasına gelene kadar hiç uygulanmıyordu; sonunda aylar sonra bunu başka bir değerle değiştirmem gerektiğini anladımAsıl hesap ING Direct’ti; sonra Capital One 360 oldu, ardından Capital One’ın geri kalan karmaşasına tamamen entegre edildi. Bu kullanıcı adı sorununun da bununla ilgili olduğunu düşünüyorum
Web sitesi: “Özel karakter ve rakam içeren, en az 8 karakterlik karmaşık bir parola seçin”
Parola yöneticisini açıp 128 karakterlik rastgele parola ürettim ve kendimle gurur duydum
Bir sonraki ziyaretimde web sitesi: “Parolanızın 31., 98. ve 102. karakterlerini girin”
Bir Birleşik Krallık konut kredisi sitesiydi
Şimdi düşününce, bunu yapabilmeleri parolayı düz metin olarak sakladıkları ya da en azından hashlemek yerine şifreleyip istedikleri zaman çözebildikleri anlamına geliyor
Acaba eski sürüm algoritmayla üretilmiş parolaydı diye tekrar deniyorum, yine olmuyor. Sonunda parola sıfırlamaya basıyorum, e-postayı alıp bağlantıya tıklıyorum ve algoritmanın ürettiği parolayı yeni parola olarak girince “bu özel karakter kullanılamaz” diyor
Kendi kuralıma göre o özel karakteri bir sonraki karakterle değiştirince bu kez “mevcut parolanızla sıfırlama yapılamaz” diyor
Hatırladığım kadarıyla “kelime yasak”, “son 24 parolanın yeniden kullanımı yasak”, “bazı özel karakterler hariç”, “5 güvenlik sorusu” ve başka birçok parola gereksinimi vardı
Güvenlik sorularının büyük/küçük harfe duyarlı olup olmadığını kimse bilmiyor
Hesap oluşturma bilgilerinin doğru olduğunu ve kişinin siz olduğunu doğrulamanız gerektiğini; yanlış veya yanıltıcı bilgi verirseniz para cezası, hapis ya da ikisiyle birden karşılaşabileceğinizi söyleyen bir ifade de vardı
Dört veya daha fazla sözlük kelimesi kullanarak gayet iyi parola güvenliği elde edebilirsiniz; güvenlik sorularının yanıtlarında da aynı yöntem kullanılabilir. Tüm gizli değerleri hatırlama sorununu çözen çok sayıda ücretsiz ve ücretli parola yöneticisi de var. İki faktörlü kimlik doğrulama gizli değerlerini yedeklemek için de iyi
“Karmaşık hata mesajı”, kullanıcının kendi başına düzeltmesi beklenen bir hataysa, bunun yerine genel bir hata ve benzersiz bir ID döndürüp destek ekibiyle iletişime geçmesini sağlayabilirsiniz. Jargon bombardımanı can sıkıcı ama güvenliğe özgü bir sorundan çok, insanların hataları açıklayamamasına dair yaygın bir beceriksizliğe benziyor
Çoğu kuruluş, işin bütünü başarılı olsa bile aynı anda pek çok şeyi batırıyor; güvenlik de bunlardan biri. Yeterince büyük bir kuruluşta beceriksiz insanların beceriksiz işler yapmasını önlemenin zor olduğunu düşünüyorum
Bu, birçok katmanda anlaşılmaz. Microsoft Authenticator öğeleri yalnızca etikete göre mi saklıyor demek oluyor? İç anahtar gibi bir şey de mi oluşturmuyor?
Sonra da web sitesinin yayıncıyı etikete değil de olması gerektiği gibi issuer alanına koymasını mı sorun diye gösteriyorlar?
Microsoft’ta gerçekten kendi Authenticator’ını kullanan kimse var mı merak ediyorum. Bir şeyi kaçırmıyorsam, bir e-postayı bir sitede kullandığınız anda başka bir siteye ekleyemeyeceğiniz için neredeyse tüm uygulamalarda kullanılamaz gibi duruyor
Ama iOS sürümünde arama çubuğu var. Nedenini hiç anlamıyorum
Devasa Piper deposunun içinde, tek bir değişiklik listesiyle eklenebilecek yerel bir arama kütüphanesi zaten var gibi geliyor; gerçi o büyük dil modeli değil
Ve çok sayıda insanın hiç kullanmadığını düşünüyorum
Ancak kullanıcının yanlış kodu görmesine yol açabilecek bir UI sorunu buldum. Ekranda görünen ilk birkaç hesabın kodları her 30 saniyede bir yenileniyor ama ekran dışında kalan kodlar yenilenmiyor
Kaydırıp ekran dışındaki kodu getirdiğinizde eski bir kod görünüyor; bir durumda doğru koddan 4 döngü geride kalan bir kod görünmüştü
Garip bir şekilde Microsoft’tan, oltalama gibi görünen ama sanki değilmiş gibi duran bir e-posta aldım.
İçerik “İşlem gerekli: 15 Ekim 2024’e kadar kiracınızda çok faktörlü kimlik doğrulamayı etkinleştirin” diyordu; “genel yönetici” olduğum için gönderildiğini söylüyor, kuruluş adı olmadan yalnızca bir UUID yazıyordu.
15 Ekim 2024’ten itibaren Azure portalı, Microsoft Entra yönetim merkezi ve Intune yönetim merkezi oturum açmalarında MFA gerekeceği için o tarihe kadar MFA’yı etkinleştirmem gerektiğini belirtiyordu. Yapamıyorsam yürürlük tarihinin ertelenmesi için başvurmamı söylüyordu.
Sorun şu ki Microsoft’ta herhangi bir kuruluş yönetmiyorum. Sadece kişisel Office365 Family hesabı gibi şeylerim var ve hesabımda zaten iki adımlı doğrulama ayarlı.
E-postada ne adım ne de sözde kuruluş adı vardı, yalnızca bir ID olduğu için ne demek istediğini hiç anlayamadım. Yine de e-posta gerçekten Microsoft’tan gelmişti.
Gmail hesapları oluşturduktan sonra ülke ve bilgisayar değiştirirken birkaçını kaybettim. Giriş yapmaya çalışınca Google, parolanın doğru olduğunu ama cihazın ve IP’nin tanıdık olmadığını söyledi.
Kurtarma adresi üzerinden kurtarmanın neden işe yaramadığını tam hatırlamıyorum; kurtarma e-posta adresine hâlâ erişebildiğim hâlde başarısız olmuştu. Muhtemelen Google’a kurtarma e-posta adresinin ne olduğunu söylemem gerekiyordu ve ben de kurtarma adresinde rastgele bir
+son eki kullanmış olabilirim.Eskiden Gmail hesabımda Google Authenticator kullanıyordum ama Google’ın pek bir çare sunmadığı bir durumda bozulabilecek bir unsurun daha eklenmesinden korktuğum için kapattım.
Parolam yaklaşık 96 bitten fazla entropiye sahip;
/dev/urandomdan 256 bit çekip çok duyarlıklı bir tamsayıya dönüştürüyorum, ardındandivmodile rakam, küçük harf, büyük harf ve sembollerden birer tane seçiyorum; kalanını tüm alfabeden seçtikten sonra kalan entropiyle Fisher-Yates karıştırması çalıştırıp ilk karakterin her zaman rakam olmamasını sağlıyorum.Siteye özel parolalar kullanıyorum ve bunları 2000’lerin başında kendi yaptığım gpg tabanlı parola yöneticisinde saklıyorum.
Çok faktörlü kimlik doğrulama, devam eden bazı aktif ihlallere karşı yardımcı olur ama veritabanı ihlali sonucu parola hash dökümleri için işe yaramaz. Parolayı bildiğim hâlde kurtarma e-posta adresiyle kurtarma yapamamak gerçekten çok can sıkıcı.
Birkaç aydır hiçbir yerden giriş yapmadıysam ve doğru parolaya sahipsem, en azından benden kurtarma adresini söylememi istemek yerine kurtarma adresine doğrulama bağlantısı ya da kod göndermeleri gerekir. Nereye gönderdiklerini söylemek zorunda değiller ama kurtarma adresini ezberlenmesi gereken bir başka parola hâline getirmek gerçekten sinir bozucu.
Google’a, zaten verdiğim ve mutlaka vermem gereken verilerin ötesinde artık güvenmiyorum.
Uluslararası taşınma planlandığı için, ciddi bir sorun çıkmadan önce e-posta hayatımı test ettiğim ücretli hesap olan Proton Maile taşıma sürecini hızlandırmam gerekiyor.
Gmail’in masum göründüğü dönemlerde, idari işlemler çevrimiçi olmaya başladığında vergi, sağlık, kamu kurumları gibi yerlere iletişim adresi olarak Gmail vermeye başlamıştım. Bu iyi çalıştı ve birkaç uluslararası taşınma boyunca Gmail önemli bir idari araç hâline geldi.
Orada burada atıl hesaplarım da var ama bir gün gerekebilecek önemli işler duruyor. Örneğin birkaç yıl geçerli Avustralya seyahat izinleri gibi şeyler.
Kitlesel gözetim hızlandıktan sonra bile Gmail az çok zararsız görünüyordu; hangi kurumlarla iş yaptığım gerçeği dışında gerçek sırlar ya da çok kişisel derin bilgiler neredeyse yoktu.
Ama çevrimiçi idari işlemler fiilen zorunlu hâle gelip diğer yollar asgari düzeyde kalınca, Gmail artık rahatsız edici derecede merkezi bir konumda. Otomatik botların şüphe uyandırmayan kullanıcılara merhamet ya da itiraz hakkı olmadan yaptığı endişe verici şeyler yüzünden taşınmaya başlamak zorunda kaldım.
O kadar yaygın kullanılmış ki hepsini tek tek bulmaya zaman yetmiyor; unutulmuş hesaplar da silik anıları kazmayı gerektirdiği için işkence gibi. Yine de yapmak zorundayım.
İkiz kızlarım kamu işleri için e-postaya ihtiyaç duyacak yaşa geldiğinde onları Google botlarının insafına bırakmak istemiyorum.
toalanından rastgele son eki öğrenebilirsiniz.Muhtemelen yöneticiyle konuşup sıfırlatabilirim ama kişisel bilgilerimi verene kadar hesabı fiilen rehin tutmaları epey rahatsız edici.
İş hesabı yüzünden Microsoft’unkini kullanıyordum. Zaten Office365’in içine iyice gömülü olduğu için kullanmamak için bir neden yoktu.
Böyle bir iletişim kutusu hiç görmedim; eklediğim hesaplarda da sorun olmadı. İş hesabı olduğu için %99 hesap adı olarak şirket e-postamı paylaşıyorum.
Bu, kullandığım sitelerin yeterince benzersiz etiketler sağladığı için şanslı olduğum anlamına mı geliyor? Sorunun tam olarak ne olduğunu tamamen anlamamış gibiyim.
Sonunda zaman geçip gidiyor; bu ailemin geçimini sağlayan iş değil, sadece giriş yapmak için ne yapmam gerektiğini deşmem gereken can sıkıcı bir iş. Bu yüzden önceki iş yerimin zorunlu tuttuğu MS çözümünü kullanmaya karar verdim.
Çevrimiçi hesapları kullanırken anlamlı bir şey yapmak yerine böyle şeylerle oyalanarak zaten çok fazla zaman harcadım.
Çevrimiçi kimlik doğrulamanın tamamı ciddi biçimde güvenilmez; büyük deliklerle ve daha da büyük risklerle dolu, biz de tüm hayatımızı bunun üzerine inşa ediyoruz.
On yıllardır parola zayıflıkları yüzünden ciddi zararlar yaşanmasına rağmen hâlâ parola kullanıyoruz; yara bandı ya da üstüne boya çekerek idare etmeye çalışıyoruz.
Neredeyse her hafta bir çevrimiçi sistem, kötüye kullanılması kolay büyük miktarda kişisel veriyi sızdırıyor; biz ise yanan odanın ortasında kahve içen köpek mem’i gibi “Sorun yok, sorun yok” diye oturuyoruz.
Her sistemde farklı, 8 karakterden uzun parolalar kullanırsak güvende olacağımıza inanıp bunun yeterli olacağını düşünüyoruz.
Eğer böyle bekliyorlarsa Microsoft ürünleri yayımlayıcıyı zaten etikete koyacağından sorun çıkmayacaktır.
Sorun, aynı e-postayı tanımlayıcı olarak kullanıp yayımlayıcıyı kaydetmek için var olan issuer alanına yayımlayıcıyı koyan başka sağlayıcıları kullandığınızda ortaya çıkıyor. Sanki çok tuhaf bir şey yapıyorlarmış gibi.
Safari’de de benzer bir hata vardı; hiçbir uyarı vermeden passkey’in üzerine yazarak hesabınızdan tamamen kilitlenmenize neden oluyordu. Sonradan düzeltildi ama bu yüzden GitHub erişimimi kaybettim.
https://bugs.webkit.org/show_bug.cgi?id=270553
Safari’de hâlâ, sabit kodlanmış istisnalar dışında farklı alt alan adlarında barındırılan web sitelerini ayırt edemeyen bir hata var; bir alt alan adının parolasını başka bir alt alan adının parolasıyla değiştiriyor. Bunu her ay yaşıyorum.
Ama bu aptallığın daha derinlere uzandığını bilmiyordum.
Güvenlik açıkları olsa da SMS ile çok faktörlü kimlik doğrulamanın kullanıcılar arasında popüler olmasının nedeni tam da bu.
Genelde SIM swap saldırısının hedefi olmadığınız sürece yeterince iyi. Çoğu kişi hedef olmaz ama çok faktörlü kimlik doğrulama anahtarını kaybetme sorununu yaşama olasılığı epey yüksek.
YubiKey gibi daha güvenli yöntemlerin genel kitleye yayılamamasının nedeni de bu. Zahmetli ve kafa karıştırıcı.
Şimdi sadece rastgele oluşturulmuş parolalara güveniyorum.
Bir yere giriş yapmanız gerektiğinde cüzdanınızdan kartı çıkarıp telefona veya dizüstüne dokundurursunuz.
Ücretli müşterileri olan bir şirket için, alternatif kimlik doğrulama yöntemlerini desteklemektense müşteride kart yoksa fiziksel olarak postayla göndermek daha mantıklı olacak kadar ucuz olmalı.
Çoğu hizmet için ikinci bir kimlik doğrulama katmanı bile gerekmeyebilir. Birisi cüzdanınızı çalsa gerçekten Reddit hesabınızı da umursar mı, emin değilim.
Test ettim; aynı hesap adı/e-postayı kullanan birden fazla hesap arasında çakışma olmadı.
Her öğede yayımlayıcı simgesi doğru görünüyor ve yayımlayıcı her öğeye kaydedilmiş.
MS Authenticator’ı yıllardır kullanıyorum; bu tür bir sorun hiç yaşamadım ve doğal olarak hesap adı ya da kullanıcı adı olarak hep aynı e-postayı kullanıyorum.
Sadece test sonucumu yazıyorum. Bunun Authenticator veya Microsoft hakkındaki düşüncemi değiştireceğini sanmıyorum ama.
Bir süre güncellemeden kullandıktan sonra MS Authenticator’ı güncellediğimde bu benim de başıma geldi.
Tüm veriler silindi ve tüm hesaplarımdan kilitlendim. MS Authenticator özenle hazırlanmış bir ürün değil.
Yaklaşık 1 yıl önce Google Authenticator uygulaması yeni sürüme otomatik güncellendiğinde benzer bir şey yaşamıştım.
Güncelleme sırasında tüm hesaplarımı kaybettim ve kesinlikle birkaç ders çıkardım.