Nhà phát triển WireGuard VPN bị Microsoft khóa tài khoản, không thể cập nhật phần mềm

Nhà phát triển WireGuard VPN, một dự án phần mềm mã nguồn mở phổ biến nằm bên dưới nhiều công cụ bảo mật như Mullvad, đã bị khóa khỏi một phần quan trọng trong tài khoản nhà phát triển của Microsoft. Điều này khiến họ không thể gửi các bản cập nhật phần mềm cho người dùng Windows.

Jason Donenfeld, người tạo ra phần mềm WireGuard VPN, cho biết ông đã bị khóa khỏi tài khoản nhà phát triển của mình. Kết quả là ông không thể ký các trình điều khiển (driver) hay gửi các bản cập nhật WireGuard cho người dùng Windows — những thứ cực kỳ quan trọng để phần mềm hoạt động. Donenfeld cho biết trong một bài đăng trên X vào thứ Tư rằng việc chấm dứt tài khoản đã ngăn chặn việc phát hành một bản cập nhật WireGuard.

Đây là sự cố thứ hai trong thời gian ngắn xảy ra với một dự án mã nguồn mở nổi tiếng và được sử dụng rộng rãi bị cắt đứt kết nối với khách hàng do việc chấm dứt tài khoản dường như bất ngờ từ Microsoft. Trước đó, phần mềm mã hóa phổ biến VeraCrypt cũng đã gặp phải tình huống tương tự. Cả hai nhà phát triển đều cho biết Microsoft đã khóa họ khỏi tài khoản mà không đưa ra cảnh báo trước.

Trong trường hợp của VeraCrypt, phần mềm được hàng trăm nghìn người dùng sử dụng để mã hóa tệp và hệ điều hành, nhà phát triển Mounir Idrassi cho biết việc bị khóa tài khoản khiến ông không thể cập nhật phần mềm kịp thời trước khi chứng chỉ của cơ quan cấp chứng chỉ hết hạn. Ông cảnh báo điều này có thể ngăn một số người dùng khởi động máy tính.

Donenfeld chia sẻ với TechCrunch qua email: "Nếu hiện tại có một lỗ hổng bảo mật nghiêm trọng cần khắc phục — tuy nhiên may mắn là chưa có — thì người dùng sẽ hoàn toàn bị phơi bày trước nguy cơ tấn công."

WireGuard là phần mềm VPN mã nguồn mở được sử dụng trên toàn thế giới để kết nối các thiết bị qua internet. Mã nguồn của WireGuard rất phổ biến nhờ tính đơn giản và bảo mật, nó đóng vai trò là nền tảng cho nhiều triển khai VPN và dịch vụ thương mại dựa vào mã nguồn này, chẳng hạn như Proton và Tailscale.

Donenfeld cho biết ông đã dành vài tuần qua để hiện đại hóa mã nguồn Windows của WireGuard và đã sẵn sàng gửi bản cập nhật cho Microsoft kiểm tra trước khi phát hành cho người dùng. Tuy nhiên, khi đăng nhập vào phần tài khoản nhà phát triển của Microsoft, ông gặp lỗi "truy cập bị hạn chế".

Mặc dù đã thực hiện quy trình xác minh giấy phép lái xe hoặc hộ chiếu với Microsoft (bên thứ ba mà Microsoft sử dụng để xác nhận cho biết ông đã "được xác minh"), quyền truy cập của Donenfeld vẫn bị đình chỉ.

Donenfeld cho biết ông đã tìm thấy một trang trên trang web của Microsoft nêu rõ rằng công ty đang thực hiện "xác minh tài khoản bắt buộc cho tất cả các đối tác trong Chương trình Phần cứng Windows chưa hoàn tất xác minh tài khoản kể từ tháng 4 năm 2024", nhưng chương trình xác minh này sau đó đã đóng cửa.

Chương trình Phần cứng Windows của Microsoft cho phép các nhà phát triển như Donenfeld và Idrassi của VeraCrypt "triển khai trình điều khiển phần cứng và thiết bị cho PC Windows và các thiết bị khác". Khả năng phát triển và phát hành trình điều khiển cho người dùng Windows bị giới hạn ở các nhà phát triển đã được xác minh và thẩm định, vì trình điều khiển có thể cấp quyền truy cập rộng lớn vào hệ điều hành và dữ liệu của nó và thường bị tin tặc khai thác vì lý do này.

Quy trình xác minh tài khoản đó có nghĩa là các nhà phát triển được yêu cầu tải lên giấy tờ tùy thân do chính phủ cấp trước khi được phép xuất bản mã có khả năng nhạy cảm cao ra cơ sở người dùng Windows rộng lớn hơn.

"Microsoft chưa bao giờ gửi cho tôi bất kỳ thông báo nào về việc này cả. Tôi đã kiểm tra mọi hộp thư, mọi thư mục spam trong mọi nhật ký thư, và không có gì, con số không," Donenfeld nói.

Chương trình xác minh của Chương trình Phần cứng Windows "đã kết thúc" và các tài khoản của nhà phát triển chưa tải lên tài liệu của họ sẽ bị "đình chỉ", trang web cho biết, điều này có nghĩa là các tài khoản này không còn có thể gửi bản cập nhật.

Donenfeld cho biết ông đã được chuyển đến đội ngũ hỗ trợ điều hành của Microsoft, nơi xử lý dịch vụ khách hàng và yêu cầu tài khoản cho các cá nhân nổi tiếng. Đội ngũ này đã xác nhận rằng kháng cáo của ông đã được nhận nhưng họ phải đợi tới 60 ngày để xem xét.

Đến cuối thứ Tư, có một tia hy vọng trong trường hợp của Donenfeld. Ông cho biết với TechCrunch rằng ông đã liên hệ được với Microsoft và hy vọng vấn đề sẽ sớm được giải quyết.

Microsoft chưa đưa ra bình luận ngay lập tức khi được TechCrunch liên hệ.

Donenfeld và Idrassi không phải là người duy nhất, các vấn đề khóa tài khoản cũng đang ảnh hưởng đến những người khác.

Windscribe, nhà sản xuất VPN và các công cụ bảo mật người dùng khác, cho biết trong một bài đăng trên X rằng họ cũng bị khóa khỏi tài khoản Partner Center. Công ty cho biết họ đã có tài khoản được xác minh hơn tám năm để ký trình điều khiển của mình.

"Chúng tôi đã cố gắng giải quyết vấn đề này hơn một tháng nay và không đi đến đâu. Hỗ trợ là không tồn tại," Windscribe nói trong bài đăng của mình. "Có ai biết một con người với bộ não vẫn hoạt động tại Microsoft có thể giúp đỡ không?"