Microsoft khóa tài khoản nhà phát triển VeraCrypt và WireGuard: Không cảnh báo, chỉ có bot và quy trình khiếu nại rối rắm

Microsoft khóa tài khoản nhà phát triển VeraCrypt và WireGuard: Không cảnh báo, chỉ có bot và quy trình khiếu nại rối rắm

Microsoft vừa thừa nhận sẽ xem xét lại cách thức giao tiếp với các nhà phát triển sau khi hai nhân vật hàng đầu trong cộng đồng mã nguồn mở bất ngờ bị khóa tài khoản. Sự cố này khiến họ không thể ký các bản cập nhật phần mềm quan trọng, gây ra những rủi ro nghiêm trọng về bảo mật.

Mounir Idrassi (người đứng sau VeraCrypt) và Jason Donenfeld (cha đẻ của WireGuard) đều thông báo rằng tài khoản nhà phát triển của họ đã bị Microsoft khóa mà không rõ lý do.

Không email, không cảnh báo, chỉ có bot tự động

Vào ngày 30 tháng 3, Mounir Idrassi đã công khai trải nghiệm của mình, cho biết ông không nhận được bất kỳ email hay cảnh báo nào từ Microsoft. Thông báo mà ông nhận được cho biết tài khoản bị chấm dứt và không có kháng cáo nào được chấp thuận.

"Tôi đã cố gắng liên hệ với Microsoft qua nhiều kênh khác nhau nhưng chỉ nhận được các phản hồi tự động và bot. Tôi không thể tiếp xúc với con người nào cả", Idrassi chia sẻ.

Tình huống này ảnh hưởng trực tiếp đến tài khoản nhà phát triển liên kết với IDRIX, công ty đứng sau VeraCrypt. Ông không thể ký trình điều khiển (driver) hay bộ khởi động (bootloader) của VeraCrypt thông qua phần cứng dashboard. Điều này còn ngăn cản ông ký các trình điều khiển và thành phần cho khách hàng trong các dự án khác, mở rộng tác động tiêu cực ra ngoài phạm vi của VeraCrypt.

Tương tự, Jason Donenfeld cũng khẳng định Microsoft không hề thông báo lý do thu hồi quyền truy cập tài khoản của ông.

"Không hề có cảnh báo, không có thông báo nào cả. Một ngày nọ, tôi đăng nhập để xuất bản bản cập nhật và ối dồi ôi, tài khoản bị treo", Donenfeld viết trên Hacker News.

Thông báo Microsoft gửi cho Jason Donenfeld về việc vô hiệu hóa tài khoản

Rủi ro bảo sinh từ việc không thể ký mã

Donenfeld bày tỏ lo ngại sâu sắc về an ninh mạng. Nếu nhóm WireGuard phát hiện ra lỗ hổng bảo mật ảnh hưởng đến VPN, ông sẽ không có cách nào ký bản cập nhật để vá lỗi.

"Như một người dùng trên Hacker News đã nhận xét, nếu là một tác nhân xấu, ngay lúc này sẽ là thời điểm tuyệt vời để khai thác các lỗ hổng zero-day trong WireGuard. Hy vọng là không có lỗ hổng nào, nhưng nếu có, thật đáng sợ!", ông nói.

Donenfeld cho biết câu chuyện của ông bắt đầu khoảng hai tuần trước, sau khi dành nhiều tuần làm việc để cải thiện ứng dụng người dùng WireGuard và trình điều khiển kernel. Ông đã xây dựng lại cơ sở hạ tầng để vượt qua bộ kiểm tra Windows Hardware Lab Kit (WHLK) – một dự án "vĩ đại" nhưng cũng là một "cơn đau đầu" khôn lường.

Khi đã sẵn sàng gói WHLK và chứng chỉ ký mã EV đắt tiền, ông đăng nhập vào Partner Portal để gửi bản ký cho Microsoft kiểm tra tự động, nhưng lại gặp thông báo tài khoản đã bị vô hiệu hóa.

Quy trình khiếu nại "tiến thoái lưỡng nan"

Quá trình kháng cáo đẩy Donenfeld vào một tình huống tiến thoái lưỡng nan (catch-22). Hệ thống hỗ trợ AI yêu cầu ông chọn nơi làm việc liên quan đến kháng cáo, nhưng vì tài khoản đã bị vô hiệu hóa, ông không thể thực hiện việc này.

Giải pháp cuối cùng mà ông tìm được là gửi kháng cáo thông qua đội ngũ Azure cho một vấn đề không liên quan và yêu cầu họ chuyển hướng đến đúng đội ngũ.

"Cuối cùng tuần này, sau khi nhờ một số người bạn làm việc tại Microsoft và gửi email cho các tác giả bài viết blog, một số thông tin bắt đầu rò rỉ ra. Họ đã nhận được kháng cáo. Mất 60 ngày. Không, không có áp lực hay bảo lãnh nào cho rằng tôi là người thật với dự án thật (được chính Microsoft sử dụng!) có thể làm nhanh quá trình này lên. Sáu mươi ngày. Không ngoại lệ", Donenfeld bức xúc.

Ông cũng cho rằng quy trình này đi ngược lại lợi ích kinh doanh của Microsoft, nhưng các bộ phận liên quan của hãng từ chối can thiệp trực tiếp.

Microsoft lên tiếng và khôi phục tài khoản

Pavan Davuluri, Chủ tịch mảng Windows và Thiết bị của Microsoft, cho biết cả Idrassi và Donenfeld sẽ sớm được khôi phục tài khoản.

"Chúng tôi đã thấy các báo cáo này và đang tích cực giải quyết vấn đề càng nhanh càng tốt. Chúng tôi đã liên hệ với VeraCrypt và đã nói chuyện với Jason tại WireGuard, họ sẽ sớm hoạt động trở lại bình thường", Davuluri đăng trên mạng xã hội X.

Ông giải thích rằng việc vô hiệu hóa cả hai tài khoản là một phần của quy trình xác minh tài khoản trong Chương trình Phần cứng Windows (Windows Hardware Program). Vào tháng 10, Microsoft đã đăng blog cảnh báo trước hai tuần rằng nếu các tài khoản chưa được xác minh kể từ tháng 4 năm 2024, họ sẽ gửi thông báo xác minh bắt buộc.

"Chúng tôi đã nỗ lực để đảm bảo các đối tác hiểu về điều này thông qua email, biểu ngữ và lời nhắc nhở. Và chúng tôi biết rằng đôi khi mọi thứ vẫn bị bỏ sót. Chúng tôi coi đây là cơ hội để xem xét lại cách thức giao tiếp những thay đổi như vậy và đảm bảo làm tốt hơn", Davuluri nói.

Kể từ khi bài đăng của Davuluri, Donenfeld đã xác nhận với The Register rằng tài khoản của ông đã được khôi phục và ông có thể phát hành bản cập nhật trình điều khiển kernel vào sáng thứ Năm.