Разработчики VeraCrypt и WireGuard внезапно лишились доступа к аккаунтам Microsoft: ни писем, ни предупреждений, ни живых людей — только боты, "замкнутый круг" и 60-дневная очередь апелляций. — theregister.com
Microsoft заявляет, что пересмотрит методы взаимодействия с разработчиками после того, как двое ведущих деятелей открытого исходного кода были внезапно заблокированы в своих учетных записях, что лишило их возможности подписывать обновления.
Мунир Идрасси и Джейсон Доненфельд, разработчики VeraCrypt и WireGuard соответственно, недавно сообщили, что Microsoft заблокировала их учетные записи разработчиков по неизвестным им причинам.
Идрасси предал огласке свой опыт 30 марта, заявив: «Microsoft не прислала мне никаких писем или предварительных предупреждений. Я не получил никакого объяснения причин блокировки, а их сообщение указывает на то, что апелляция невозможна.
«Я пытался связаться с Microsoft по разным каналам, но получал только автоматические ответы и сообщения от ботов. Мне не удалось связаться с живым человеком».
На этой неделе в беседе с The Register разработчик сообщил, что до сих пор не получил ответа от Microsoft.
Блокировка затронула учетную запись разработчика, связанную с IDRIX, компанией, стоящей за VeraCrypt, которая также занимается другими проектами помимо утилиты шифрования.
«Я не могу подписать драйвер VeraCrypt или загрузчик VeraCrypt через панель управления оборудованием, — сказал он. — Это также мешает мне подписывать драйверы и компоненты для моих клиентов по другим проектам, так что эта ситуация влияет на мою работу за пределами VeraCrypt».
Похожая ситуация сложилась и у Доненфельда, который также утверждал, что Microsoft не уведомила его о причинах отзыва доступа к его учетной записи.
«Никаких предупреждений, никаких уведомлений», — написал он на Hacker News. «Однажды я захожу, чтобы опубликовать обновление, и — упс — учетная запись приостановлена».
Он также выразил обеспокоенность по поводу кибербезопасности. Если бы команда WireGuard узнала об уязвимости, затрагивающей VPN, у него не было бы возможности подписать исправление.
«Как отметил кто-то на Hacker News, если бы кто-то оказался злоумышленником, сейчас было бы подходящее время, чтобы начать эксплуатировать zero days в WireGuard. Я имею в виду, надеюсь, что в WireGuard нет zero days. Но если бы они были, Джимини Крикет!»
Доненфельд рассказал The Register, что его сага началась около двух недель назад, после нескольких недель работы над улучшениями пользовательского приложения WireGuard и его драйвера ядра, включая перестройку инфраструктуры последнего для прохождения набора тестов Windows Hardware Lab Kit (WHLK), который он охарактеризовал как «неплохой проект», но «огромную головную боль».
Он сказал: «Когда пакет WHLK был готов, я получил новый, очень дорогой сертификат EV для подписи кода — это требование Microsoft само по себе является своего рода вымогательством — и я был готов войти на Партнерский портал и отправить свой подписанный пакет WHLK и драйвер в Microsoft для автоматической проверки, которая обычно приводит к получению подписи Microsoft, необходимой для загрузки драйверов в ядро».
Однако он увидел сообщение о том, что его учетная запись была деактивирована.
Сообщение Microsoft Джейсону Доненфельду из WireGuard об отключении его учетной записи
«Microsoft вообще не присылала мне никаких уведомлений об этом, — добавил Доненфельд. — Я проверил каждый почтовый ящик, каждую папку со спамом, все журналы почты — и ноль, ничего, пустота».
Процесс апелляции направил Доненфельда к инструменту поддержки через тикеты на базе ИИ, но он не позволял выбрать рабочее место, к которому относилась апелляция, поскольку его учетная запись была деактивирована.
Это создало то, что он назвал сценарием «замкнутого круга» (catch-22), когда ему нужно было подать апелляцию для восстановления учетной записи, но для подачи апелляции ему нужна была учетная запись.
Обходной путь, который он в итоге нашел, заключался в подаче апелляции через команду Azure по несвязанному вопросу и просьбе перенаправить ее в нужную команду.
«Наконец на этой неделе, и после того, как я побеспокоил некоторых друзей, работающих в Microsoft, и написал авторам тех постов в блогах, начали просачиваться некоторые новости, — сообщил Доненфельд по электронной почте. — Они получили апелляцию. Это занимает 60 дней. Нет, никакое давление или поручительство того, что я, по сути, реальный человек с реальным проектом (который, по-видимому, использует сама Microsoft!), не ускорит процесс. Шестьдесят дней. Без исключений.
«Кстати, они не указали, какая документация требуется для апелляции, поэтому я просто угадывал. Так что через шестьдесят дней они могут просто отклонить ее, и я окажусь в беде.
«Мне показалось, что это противоречит деловым интересам Microsoft, поэтому я написал в [департамент стандартов делового поведения Microsoft]. Но они не сочли это достаточно важным и вместо этого перенаправили меня в команду поддержки руководства, которая вчера сообщила мне, что нужные люди действительно получили мою апелляцию (у меня не было предварительного подтверждения), но сделать что-либо для ее обработки невозможно, и нет никакой информации о том, когда/как/и т. д. Полная непрозрачность».
Ответ Microsoft
Паван Давулури, президент подразделения Windows и устройств Microsoft, заявил, что учетные записи Идрасси и Доненфельда должны быть восстановлены «вскоре».
«Мы видели эти сообщения и активно работаем над скорейшим решением проблемы», — написал в X Давулури. «Мы связались с VeraCrypt и поговорили с Джейсоном из WireGuard, они скоро вернутся в строй».
Он пояснил, что обе деактивации были проведены в рамках процедур проверки учетных записей Программы оборудования Windows.
Компания опубликовала блог в октябре, предупредив разработчиков за две недели, что если их учетные записи не были верифицированы с апреля 2024 года, Microsoft выпустит обязательные уведомления о верификации учетных записей.
«Мы усердно работали, чтобы партнеры поняли, что это произойдет, рассылая электронные письма, баннеры, напоминания», — сказал Давулури.
«И мы знаем, что иногда что-то все же упускается из виду. Мы используем это как возможность пересмотреть, как мы сообщаем о подобных изменениях, и убедиться, что делаем это лучше».
Для тех, кто ищет помощи в восстановлении своих учетных записей, на помощь приходит Copilot. Давулури указал тем, кто оказался в похожей ситуации, на страницу поддержки с описанием шагов, которые они могут предпринять.
После публикации поста Давулури в социальных сетях Доненфельд подтвердил The Register, что его учетная запись была восстановлена, и он смог выпустить обновление своего драйвера ядра по состоянию на утро четверга. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones