Microsoft đột ngột chấm dứt tài khoản VeraCrypt, làm gián đoạn cập nhật trên Windows

Microsoft đã chấm dứt một tài khoản liên quan đến VeraCrypt – một phần mềm mã hóa dữ liệu lâu đời và phổ biến, khiến tương lai của các bản cập nhật công cụ này trên hệ điều hành Windows trở nên uncertain. Thông tin này được chính nhà phát triển của VeraCrypt xác nhận với 404 Media.

Sự kiện này làm nổi bật sự nhạy cảm trong chuỗi cung ứng phần mềm, đặc biệt là đối với các dự án mã nguồn mở phụ thuộc vào các công ty công nghệ lớn dù chỉ ở mức độ gián tiếp.

Mounir Idrassi, nhà phát triển của VeraCrypt, cho biết trong một email gửi tới 404 Media: "Tôi không nhận được bất kỳ email nào từ Microsoft cũng như không có cảnh báo trước nào".

VeraCrypt là một công cụ mã nguồn mở dùng để mã hóa dữ liệu tại chỗ (data at rest). Người dùng có thể tạo các phân vùng mã hóa trên ổ đĩa hoặc tạo các ổ chứa mã hóa riêng biệt để lưu trữ tệp tin. Giống như tiền nhiệm TrueCrypt, VeraCrypt cũng cho phép người dùng tạo một ổ chứa thứ hai trông vô hại để sử dụng trong trường hợp bị ép buộc phải cung cấp mật khẩu.

VeraCrypt

Vào tuần trước, ông Idrassi đã đăng trên diễn đàn SourceForge để giải thích lý do ông vắng mặt trong vài tháng qua. Thách thức lớn nhất, ông viết, "là Microsoft đã chấm dứt tài khoản mà tôi đã dùng trong nhiều năm để ký trình điều khiển Windows và trình khởi động (bootloader)".

"Về VeraCrypt, tôi không thể xuất bản các bản cập nhật Windows. Các bản cập nhật cho Linux và macOS vẫn có thể thực hiện được, nhưng Windows là nền tảng được đa số người dùng sử dụng, do đó việc không thể phát hành bản phát hành cho Windows là một đòn mạnh vào dự án," ông tiếp tục. "Hiện tại, tôi đã hết phương án."

Ông Idrassi cho biết việc chấm dứt tài khoản diễn ra vào giữa tháng 1. "Tôi rất ngạc nhiên khi phát hiện ra rằng mình không thể sử dụng tài khoản của mình nữa," ông nói.

Trên diễn đàn và trong email gửi 404 Media, ông Idrassi đã chia sẻ thông điệp duy nhất mà ông nhận được liên quan đến việc đóng cửa tài khoản. Nội dung thông điệp cho biết: "Dựa trên thông tin bạn cung cấp cho đến nay, chúng tôi đã xác định rằng tổ chức của bạn hiện không đáp ứng các yêu cầu để vượt qua xác minh. Không có kháng cáo nào khả dụng, chúng tôi đã đóng đơn đăng ký của bạn."

Ông Idrassi cho biết thông điệp này đề cập đến công ty của ông là IDRIX. "Như bạn có thể đọc trong thông điệp của họ, họ nói rằng tổ chức (IDRIX) không đáp ứng các yêu cầu của họ, nhưng tôi không thấy yêu cầu nào mà IDRIX đột ngột ngừng đáp ứng," ông nói.

Nhà phát triển này cho biết ông đã cố gắng liên hệ với bộ phận hỗ trợ của Microsoft, nhưng chỉ nhận được các phản hồi tự động mà ông tin là được tạo ra bởi AI. "Điều này rất frustrating vì họ ít nhất cũng có thể giải thích xem điều gì sai sót," ông Idrassi nói.

"Sự thiếu giao tiếp từ Microsoft khi họ đưa ra các quyết định như vậy làm tăng thêm sự không chắc chắn về tương lai, kết hợp với phản hồi AI tự động mang lại khía cạnh thiếu tính con người cho các quyết định này," ông nhận định.

Theo một bài đăng trên Hacker News, ứng dụng khách VPN phổ biến WireGuard cũng đang gặp phải vấn đề tương tự. Jason Donenfeld, người tạo ra WireGuard, viết: "Không có cảnh báo nào cả, không có thông báo. Một ngày tôi đăng nhập để xuất bản bản cập nhật, và ôi thôi, tài khoản bị đình chỉ."

Microsoft đã xác nhận yêu cầu bình luận nhưng không cung cấp phản hồi kịp thời trước khi bài viết được xuất bản.