Dezvoltatorul WireGuard, creatorul celebrei soluții VPN open-source care stă la baza unor servicii de securitate extrem de populare precum Mullvad și multe altele, se află într-o situație critică: este complet blocat din contul său de dezvoltator Microsoft și, implicit, nu poate distribui actualizări esențiale către utilizatorii Windows. Această blocare amenință să afecteze sute de mii, dacă nu milioane, de utilizatori care depind de WireGuard pentru a-și proteja comunicările online și a naviga în siguranță pe internet.
Jason Donenfeld, creatooul proiectului open-source WireGuard, a dezvăluit pentru TechCrunch că a rămas efectiv fără acces la secțiunea destinată dezvoltatorilor din contul său Microsoft. Consecința directă este că nu poate semna drivere și nu poate trimite actualizări pentru versiunea Windows a WireGuard, iar aceste drivere sunt absolut critice pentru funcționarea corectă a software-ului pe sistemele de operare Windows. Este un scenariu de coșmar pentru orice dezvoltator: să ai gata o actualizare importantă, dar să fii incapabil să o expediezi utilizatorilor din cauza unei blocaje administrative.
Donenfeld a postat pe X (fosta Twitter) informația că întreruperea accesului la cont l-a împiedicat să livreze o actualizare WireGuard programată. Mai grav este că aceasta nu este o întâmplare izolată. Un alt proiect open-source extrem de răspândit și la fel de important pentru securitatea informatică, și anume software-ul de criptare VeraCrypt, se confruntă cu o situație aproape identică. Ambele proiecte sunt instrumente fundamentale pentru milioane de utilizatori din întreaga lume, iar imposibilitatea de a le actualiza reprezintă un risc major de securitate.
În cazul VeraCrypt, utilizat de sute de mii de persoane pentru a cripta fișiere și sisteme de operare întregi, dezvoltatorul său, Mounir Idrassi, a declarat pentru TechCrunch că blocarea accesului la cont înseamnă că nu poate actualiza software-ul la timp pentru o expirare critică a unei autorități de certificare. Această întârziere ar putea împiedica pur și simplu anumiți utilizatori să pornească dispozitivele lor, un scenariu cu consecințe devastatoare pentru cei afectați.
Donenfeld a transmis prin e-mail că situația este extrem de îngrijorătoare: „Dacă ar exista o vulnerabilitate critică de remediat chiar acum — nu există, doar spun hypothetic — atunci utilizatorii ar fi complet expuși. Nimeni nu ar putea primi un patch, nimeni nu ar fi protejat. Aceasta este o problemă serioasă pentru întregul ecosistem de securitate."
WireGuard este un software VPN open-source utilizat la scară globală pentru a conecta dispozitive printr-o rețea securizată peste internet. Codul WireGuard este extrem de popular datorită simplității și securității sale robuste, servind drept fundamentă pentru numeroase implementări VPN și servicii comerciale de renume, printre care se numără Proton și Tailscale. Deci impactul unei astfel de blocaje nu se limitează doar la aplicația WireGuard în sine, ci afectează întregul lanț de servicii care se bazează pe acest cod.
Donenfeld a explicat că, în ultimele săptămâni, a lucrat intens la modernizarea codului Windows al WireGuard și era pregătit să trimită o actualizare la Microsoft pentru verificare înainte de a o putea distribui utilizatorilor finali. Însă, în momentul în care a încercat să se autentifice în secțiunea de dezvoltator a contului său Microsoft, a primit o eroare simplă și rece: „acces restricționat." O simplă eroare care i-a blocat întreaga operațiune.
În ciuda faptului că a urmat întregul proces de verificare a licenței de driver sau a pașaportului cu Microsoft — proces în care intermediarul third-party folosit de Microsoft l-a declarat „verificat" — Donenfeld spune că accesul său rămâne suspendat. A parcurs toate etapele cerute, a furnizat toate documentele solicitate, a trecut prin verificările impuse, și totuși contul nu a fost deblocat. Este o situație care ridică semne grave de întrebare privind procedurile de suport și comunicare ale Microsoft.
Mai mult, Donenfeld a descoperit o pagină pe site-ul Microsoft care arăta că compania desfășura un „proces obligatoriu de verificare a contului pentru toți partenerii din Programul Hardware Windows care nu au finalizat verificarea contului începând din aprilie 2024", dar că acel program de verificare fusese între timp închis. Programul Hardware Windows al Microsoft le permite dezvoltatorilor precum Donenfeld și Idrassi să „implementeze hardware și drivere de dispozitive pentru PC-uri Windows și alte dispozitive."
Această verificare presupunea ca dezvoltatorii să încarce un act de identitate emis de autorități înainte de a li se permite să publice cod potențial sensibil către baza largă de utilizatori Windows. Condiție legitimă, în principiu, ținând cont că drivere pot acorda acces vast la un sistem de operare și la datele sale, fiind cunoscute ca fiind abuzate de hackeri tocmai pentru acest motiv. Problema apare însă în momentul în care acest proces se încheie și nu mai există o cale clară de redresare.
„Microsoft nu mi-a trimis NICIODATĂ vreo notificare despre asta. Am căutat în fiecare inbox, în fiecare folder de spam, în fiecare log de e-mail, și zero, nimic, nimic", a declarat Donenfeld cu frustrare evidentă. Pagina Programului Hardware Windows precizează explicit că programul de verificare „s-a încheiat acum", iar dezvoltatorii care nu și-au încărcat documentele au avut conturile „suspendate", ceea ce înseamnă că aceștia nu mai pot trimite actualizări.
Donenfeld a fost redirecționat către echipa de suport executiv al Microsoft, cea care se ocupă de serviciul pentru clienți și solicitările conturilor pentru persoane de profil înalt, care i-a confirmat că contestația sa a fost primită, dar că trebuie să aștepte până la 60 de zile pentru revizuire. O așteptare de până la două luni în care, teoretic, o vulnerabilitate critică ar putea apărea, iar dezvoltatorul nu ar avea nicio modalitate să reacționeze.
Spre finalul zilei de miercuri, a apărut totuși o rază de speranță pentru Donenfeld. Acesta a comunicat că a reușit să ia legătura cu Microsoft și că, speră el, problema va fi rezolvată în curând. Rămâne însă de văzut cât de rapid va fi procesul și dacă situația se va remedia înainte ca vreun incident de securitate să aibă loc.
Donenfeld și Idrassi nu sunt singurii afectați. Problema blocării conturilor a lovit și alte entități. Windscribe, un producător de instrumente VPN și alte instrumente pentru confidențialitate digitală destinate consumatorilor, a postat pe X că și ea a fost blocată din contul Partner Center. Compania a menționat că deținea un cont verificat de peste opt ani tocmai pentru a-și putea semna driverele.
„Încercăm să rezolvăm asta de peste o lună și nu ajungem nicăieri. Suportul este inexistent", a transmis Windscribe în mesajul său. „Știe cineva un om cu un creier funcțional la Microsoft care ne poate ajuta?" — o întrebare retorică, dar care spune enorm despre starea actuală a serviciilor de suport ale gigantului tehnologic.
Această situație ridică întrebări serioase despre practicile de comunicare și suport ale Microsoft față de comunitatea open-source. Într-un moment în care securitatea informatică este mai importantă ca oricând, iar dependența de software open-source este la un nivel maxim, blocarea bruscă și fără notificare prealabilă a unor dezvoltatori critici pare să contravină nu doar bunelor practici, ci chiar interesului publicului larg. Hackerii și actorii malițioși urmăresc în mod constant vulnerabilități tocmai în astfel de momente de criză, când dezvoltatorii sunt paralizați administrativ.
Este regretabil că procesul de verificare, deși justificat din perspectiva securității, a fost implementat fără o comunicare adecvată și fără canale de redresare rapide. Când un dezvoltator de calibrul lui Jason Donenfeld — creatorul unui proiect folosit de milioane de persoane — nu poate obține răspuns în decurs de o lună, înseamnă că ceva nu funcționează corect în ecosistemul de suport al uneia dintre cele mai mari companii tehnologice din lume.
Dezvoltatorul VPN WireGuard nu poate trimite actualizări de software după ce Microsoft i-a blocat contul
