Microsoft suspende contas de desenvolvedores de grandes projetos open source

 (bleepingcomputer.com)
2 pontos por GN⁺ 18 일 전 | 1 comentários | Compartilhar no WhatsApp
  • A Microsoft suspendeu, sem aviso prévio, contas de desenvolvedores de grandes projetos open source como WireGuard, VeraCrypt, MemTest86 e Windscribe VPN, interrompendo a distribuição de builds para Windows e de patches de segurança
  • As contas suspensas eram contas de parceiro do Windows Hardware Program, e não foi oferecido um processo de recuperação nem um meio de reativação rápida
  • Desenvolvedores do VeraCrypt e do WireGuard afirmam que as contas foram bloqueadas sem aviso ou e-mail, e que o contato com a equipe de suporte se limitou a respostas automáticas
  • A Microsoft explicou que a medida foi uma suspensão automática por não conclusão do procedimento obrigatório de verificação de conta e, depois, prometeu ajudar na recuperação de algumas contas e melhorar a comunicação
  • Na comunidade, houve críticas à ineficiência do processo de apelação e à falta de suporte aos desenvolvedores, além de preocupação com o impacto sobre projetos open source essenciais

Polêmica sobre a suspensão de contas de desenvolvedores open source pela Microsoft

  • A Microsoft suspendeu, sem aviso prévio, contas de desenvolvedores de grandes projetos open source, interrompendo a distribuição de novos builds para Windows e de patches de segurança
    • As contas suspensas eram contas de parceiro do Windows Hardware Program, e não foi oferecido um processo de recuperação nem um meio de reativação rápida
  • Entre os projetos afetados estão WireGuard, VeraCrypt, MemTest86 e Windscribe VPN
    • Esses projetos vinham usando contas da Microsoft para assinatura de drivers do Windows e assinatura de bootloaders
  • Mounir Idrassi, desenvolvedor do VeraCrypt, afirmou que a conta que usava havia anos foi encerrada sem aviso prévio e que apenas recebeu a notificação, sem e-mail, sem alerta e sem possibilidade de apelação
    • Ele explicou que tentou contatar o suporte da Microsoft por vários canais, mas recebeu apenas respostas automáticas e bots, sem conseguir falar com um responsável real
    • Atualizações para Linux e macOS ainda são possíveis, mas ele observou que a maioria dos usuários usa Windows, o que torna o impacto muito grande
  • Jason A. Donenfeld, mantenedor do WireGuard, também disse que “a conta foi suspensa assim que fiz login, sem qualquer aviso ou notificação” e informou que está seguindo um processo de apelação de 60 dias
    • Ele alertou que “se o WireGuard tivesse uma vulnerabilidade grave de execução remota de código (RCE), não seria possível distribuir imediatamente um patch”, destacando o risco
    • As equipes do Windscribe e do MemTest86 também relataram que não conseguiram contato com o suporte da Microsoft por várias semanas

Explicação da Microsoft e medidas posteriores

  • Após a reportagem da TechCrunch, o vice-presidente da Microsoft Scott Hanselman explicou que essas contas foram automaticamente suspensas por não concluírem o procedimento obrigatório de verificação de conta do Windows Hardware Program
    • Segundo ele, esse procedimento se aplica a parceiros que não o concluíram desde abril de 2024, e notificações por e-mail teriam sido enviadas a partir de outubro de 2025
    • De acordo com um aviso do Hardware Dev Center publicado em 1º de outubro de 2024, haveria suspensão automática caso a verificação não fosse concluída em 30 dias
  • Em uma atualização de 30 de março de 2026, a Microsoft declarou que “contas que não concluírem a verificação serão suspensas do Windows Hardware Program e envios deixarão de ser permitidos”
    • O BleepingComputer enviou perguntas adicionais a um porta-voz da Microsoft, mas ainda não recebeu resposta
  • Depois disso, Hanselman entrou em contato diretamente com Idrassi, desenvolvedor do VeraCrypt, para ajudar na recuperação da conta, e Idrassi comentou que “a cobertura da imprensa e a repercussão nas redes sociais levaram a Microsoft a agir
    • O EVP de Windows e Devices da Microsoft, Pavan Davuluri, afirmou que “a empresa tentou alertar os parceiros sobre esse processo por e-mail, banners e lembretes, mas alguns não perceberam” e prometeu melhorar a forma de comunicação

Reação da comunidade

  • Alguns usuários apontaram que “mesmo desenvolvendo software incluído em produtos da Microsoft, assusta pensar que, se houver um problema, não é possível falar diretamente com uma pessoa
  • Outra opinião criticou que “o processo de apelação é excessivamente complexo e ineficiente e é problemático que um projeto essencial como o WireGuard tenha sido afetado”
  • Alguns também deixaram reações positivas, dizendo que “Scott Hanselman ao menos é uma pessoa confiável”

Leituras relacionadas

1 comentários

 
GN⁺ 18 일 전
Comentários do Hacker News

  • Falam sobre o caso discutido ontem em que a Microsoft encerrou a conta do VeraCrypt e interrompeu as atualizações do Windows
    Também vale consultar o thread anterior, que inclui opiniões de desenvolvedores e uma atualização posterior da Microsoft

  • A Microsoft envia e-mails com o título “Action required” com frequência demais
    Na prática, na maioria das vezes não é preciso fazer nada, ou nem tem relação comigo
    Se você procurar esses e-mails, vai encontrar um monte de casos em que no fim não precisava fazer absolutamente nada

    • Ao ficar disparando alertas desse jeito, como na história do ‘menino que gritava lobo’, as pessoas acabam ignorando até as mensagens realmente importantes
    • Participei do programa de startups da Microsoft no passado, e a cobrança do Azure era cara demais, além de a interface ser péssima
      Os serviços eram ativados automaticamente, e eu nem conseguia encontrá-los até a fatura chegar depois
      Já se passaram 2 anos desde que saí do programa, e ainda recebo e-mails de “Action required”
      O GitHub Desktop é parecido — no macOS não dá para desativar as atualizações automáticas, e ele pede permissão de administrador todos os dias
      Acho que esse tipo de assédio ao usuário deveria ser proibido por lei
    • Minha caixa de spam está lotada de e-mails “Action Required”
      A maioria é phishing, então eu nem abro nem quando o e-mail é realmente da Microsoft
    • Uma vez esse tipo de e-mail era tão incompreensível que abri um ticket de suporte, e nem o funcionário da Microsoft sabia a qual recurso ele se referia
    • Em treinamentos de conscientização em segurança, aprendi que e-mails com o assunto “Action required” são phishing

  • A Microsoft disse que vai usar este caso para revisar uma melhoria na comunicação,
    o que parece o Vogon explodindo a Terra e depois dizendo “na próxima a gente faz melhor”

  • No setor de tecnologia, segurança muitas vezes não passa de ‘teatro’
    O objetivo real costuma ser empurrar políticas inconvenientes, como controle de acesso ou invasão de privacidade
    Até os processos de assinatura acabam deixando todo o poder na mão de um lado só, e esse poder sempre acaba sendo abusado

    • Algumas pessoas acham melhor transferir a responsabilidade por meio de seguro, em vez de impedir falhas
    • A maior parte da segurança é malfeita, mas isso não significa que segurança em si seja desnecessária
      O problema grave é a concentração de poder nas Big Techs
    • Quando se sacrificam princípios em nome de compromissos práticos, no fim se perde os dois

  • A decisão da Microsoft desta vez é absurda demais
    Num momento em que a base de fãs do Windows está diminuindo, agir assim é dar um tiro no próprio pé
    Mas esse tipo de caso também pode servir para fazer as pessoas perceberem os riscos da centralização

    • Hoje tentei fazer login no Teams por 20 minutos e falhei porque caí num loop infinito de autenticação
      Falam de era da automação com IA, mas nem login funciona direito
    • A boa vontade que Satya Nadella acumulou entre 2014 e 2022 desapareceu completamente
      Agora a empresa só parece olhar para Azure e IA

  • Artigo relacionado: o caso da suspensão da conta de desenvolvedor do WireGuard VPN no TechCrunch
    Também foi discutido no thread do HN

    • Segundo uma fonte melhor, não se tratava apenas de verificação por e-mail, mas exigia envio de documento de identidade emitido pelo governo
      Só que alguns desenvolvedores não receberam nenhum aviso sobre esse procedimento

  • A posição oficial da Microsoft saiu em artigo do The Register

    • No passado trabalhei como Microsoft Partner, e para manter a qualificação de parceiro era preciso ter uma certificação oficial de desenvolvedor
      Quando essa certificação foi descontinuada, parece que os parceiros sem desenvolvedores certificados foram removidos em massa

  • A “Microslop” está mais uma vez destruindo a própria marca
    Agora as pessoas talvez migrem para MacOS ou Linux

    • Já faz mais de um ano que mantenho o Forgejo, e ele é rápido e tem os recursos essenciais de graça
      Funciona bem até num Raspberry Pi 4 (1GB RAM)
      Basta configurar HTTPS com Docker Compose e Caddy, e fazer backup com cron + git pull
      Também dá para rodar testes em Rust ou Python sem problemas
    • Mas a Apple também faz algo parecido na App Store
      O problema de raiz é a estrutura de loja de aplicativos monopolista
    • A maioria das pessoas simplesmente usa o computador que a empresa fornece
      Na prática, não são muitas que querem trocar de sistema operacional
    • Dispositivos da Apple são caros, e notebooks Linux ainda são difíceis de ver nas lojas
      Por isso uma migração em massa é difícil
    • Uso um PC corporativo com Windows 11, e fiquei chocado com o quanto ele é lento
      É mais lento até que um Q6600 de 2007 com Windows XP

  • No meu Linux e no meu Mac, o WireGuard funciona bem
    A Microsoft parece não perceber que bloquear um software essencial assim causa mais dano a ela própria

    • Hoje em dia, nas grandes empresas ninguém revisa nada de verdade
      Bots automatizados bloqueiam contas, e quando você tenta reverter isso só encontra barreiras

  • Segundo o vice-presidente da Microsoft, Scott Hanselman,
    essas suspensões foram um bloqueio automático aplicado a “parceiros que não concluíram a verificação de conta desde abril de 2024”
    Mas, na prática, isso pareceu muito mais um encerramento de conta do que uma suspensão