Microsoft vô tình khóa tài khoản của các dự án mã nguồn mở lớn, gây gián đoạn cập nhật bảo mật

Microsoft gần đây đã vô tình khóa tài khoản nhà phát triển của nhiều dự án mã nguồn mở nổi tiếng mà không đưa ra cảnh báo trước. Sự cố này đã ngăn cản các nhà phát triển ký trình điều khiển (driver) và phát hành các bản cập nhật phần mềm cũng như vá lỗi bảo mật quan trọng dành cho người dùng Windows.

Danh sách các dự án bị ảnh hưởng bao gồm phần mềm mạng riêng ảo (VPN) WireGuard, công cụ mã hóa VeraCrypt, phần mềm kiểm tra và chẩn đoán bộ nhớ MemTest86, cũng như phần mềm VPN Windscribe.

Thông báo khóa tài khoản từ Microsoft

Thiếu thông báo và khó khăn trong kháng cáo

Mounir Idrassi, nhà phát triển của dự án VeraCrypt, cho biết tài khoản ông đã sử dụng trong nhiều năm để ký driver và bootloader cho Windows đã bị chấm dứt đột ngột.

"Microsoft không gửi cho tôi bất kỳ email hay cảnh báo nào. Tôi không nhận được lời giải thích nào cho việc chấm dứt tài khoản và thông báo của họ cho biết không thể kháng cáo," ông Idrassi chia sẻ.

Ông cho biết đã cố gắng liên hệ với Microsoft qua nhiều kênh khác nhau nhưng chỉ nhận được các phản hồi tự động từ bot. Việc không thể tiếp cận con người của bộ phận hỗ trợ khiến ông không thể phát hành các bản cập nhật Windows, trong khi các bản cập nhật cho Linux và macOS vẫn có thể thực hiện bình thường.

Trải nghiệm tương tự cũng được các nhà phát triển đứng sau các dự án phổ biến khác như Jason A. Donenfeld (người duy trì WireGuard) và đội ngũ phát triển của Windscribe và MemTest86 xác nhận. Họ đều cho biết đã cố gắng liên hệ với hỗ trợ của Microsoft trong nhiều tuần mà không thành công.

"Không có cảnh báo nào cả, không có thông báo. Một ngày tôi đăng nhập để đăng bản cập nhật và ồ, tài khoản bị khóa," Donenfeld nói. "Điều này thực sự điên rồ: nếu có một lỗ hổng RCE (thực thi mã từ xa) nghiêm trọng trong WireGuard đang bị khai thác, và tôi cần cập nhật ngay lập tức cho người dùng thì sao?"

Microsoft giải thích nguyên nhân

Sau khi TechCrunch đưa tin về sự việc vào thứ Tư, Phó chủ tịch Microsoft Scott Hanselman cho biết các tài khoản nhà phát triển bị khóa tự động do họ không vượt qua "quy trình xác minh tài khoản bắt buộc dành cho tất cả đối tác trong Chương trình Phần cứng Windows (Windows Hardware Program) chưa hoàn tất xác minh kể từ tháng 4 năm 2024".

Theo một bài viết trên Trung tâm phát triển phần cứng (Hardware Dev Center) được xuất bản vào ngày 1 tháng 10, quy trình xác minh tài khoản bắt đầu từ ngày 16 tháng 10 và sẽ kích hoạt lệnh treo tài khoản tự động khỏi Chương trình Phần cứng Windows nếu đối tác không hoàn tất trong vòng 30 ngày.

Logo Microsoft

"Quy trình xác minh tài khoản cho Chương trình Phần cứng Windows hiện đã kết thúc," Microsoft cho biết trong bản cập nhật ngày 30 tháng 3. "Các tài khoản không hoàn tất thành công quy trình xác minh và nhận trạng thái Xác minh bị từ chối đã bị treo khỏi Chương trình Phần cứng Windows, và các bài gửi từ các tài khoản này không còn được phép nữa."

Giải quyết và rút kinh nghiệm

Mặc dù Hanselman cho biết vấn đề sẽ được giải quyết "trong một chút", ông không chia sẻ lý do tại sao những người duy trì dự án không nhận được thông báo về việc khóa tài khoản.

Tuy nhiên, tình hình đã thay đổi khi Idrassi xác nhận rằng Hanselman đã liên hệ để giúp khôi phục tài khoản Partner Center bị treo. Ông thừa nhận rằng "các bài đăng trên mạng xã hội và cuộc phỏng vấn với các nhà báo đã giúp kích hoạt phản hồi từ Microsoft".

Pavan Davuluri, Phó chủ tịch điều hành của Microsoft phụ trách mảng Windows và Thiết bị, cũng xác nhận việc này. "Chúng tôi đã nỗ lực để đảm bảo các đối tác hiểu rằng điều này sắp xảy ra, thông qua email, biểu ngữ và lời nhắc nhở," ông Davuluri lưu ý. "Và chúng tôi biết rằng đôi khi mọi thứ vẫn có thể bị bỏ sót. Chúng tôi coi đây là cơ hội để xem xét lại cách chúng tôi truyền đạt những thay đổi như vậy và đảm bảo làm tốt hơn trong tương lai."