Microsoft đình chỉ tài khoản của các nhà phát triển dự án mã nguồn mở lớn

 (bleepingcomputer.com)
2 điểm bởi GN⁺ 10 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Microsoft đã đình chỉ tài khoản của các nhà phát triển thuộc các dự án mã nguồn mở lớn như WireGuard, VeraCrypt, MemTest86, Windscribe VPN mà không thông báo trước, khiến việc phát hành bản build cho Windows và bản vá bảo mật bị gián đoạn
  • Các tài khoản bị đình chỉ là tài khoản đối tác Windows Hardware Program, và không có quy trình khôi phục hay cách tái kích hoạt nhanh nào được cung cấp
  • Các nhà phát triển VeraCrypt và WireGuard cho biết tài khoản của họ bị chặn mà không có cảnh báo hay email nào, đồng thời việc liên hệ với đội ngũ hỗ trợ chỉ nhận được phản hồi tự động
  • Microsoft giải thích đây là việc đình chỉ tự động do không hoàn tất quy trình xác minh tài khoản bắt buộc, sau đó hỗ trợ khôi phục một số tài khoản và hứa cải thiện cách giao tiếp
  • Trong cộng đồng, nhiều ý kiến chỉ trích sự kém hiệu quả của quy trình kháng nghị và việc thiếu hỗ trợ cho nhà phát triển, đồng thời lo ngại việc các dự án mã nguồn mở cốt lõi bị ảnh hưởng

Tranh cãi quanh việc Microsoft đình chỉ tài khoản của các nhà phát triển mã nguồn mở

  • Microsoft đã đình chỉ tài khoản của các nhà phát triển thuộc các dự án mã nguồn mở lớn mà không thông báo trước, khiến việc phát hành bản build mới cho Windows và các bản vá bảo mật bị gián đoạn
    • Các tài khoản bị đình chỉ là tài khoản đối tác Windows Hardware Program, và không có quy trình khôi phục hay cách tái kích hoạt nhanh nào được cung cấp
  • Các dự án bị ảnh hưởng gồm WireGuard, VeraCrypt, MemTest86, Windscribe VPN
    • Các dự án này lâu nay dùng tài khoản Microsoft để ký driver Windows và ký bootloader
  • Nhà phát triển VeraCrypt Mounir Idrassi cho biết tài khoản ông đã dùng suốt nhiều năm bị đóng mà không báo trước, và ông chỉ nhận được thông báo mà không có email hay cảnh báo nào, đồng thời cũng không thể kháng nghị
    • Ông cho biết đã liên hệ đội ngũ hỗ trợ Microsoft qua nhiều kênh nhưng chỉ nhận được phản hồi tự động và bot, không thể kết nối với người phụ trách thực sự
    • Các bản cập nhật cho Linux và macOS vẫn có thể phát hành, nhưng ông nói đây là đòn giáng lớn vì phần lớn người dùng đang dùng Windows
  • Người bảo trì WireGuard Jason A. Donenfeld cũng cho biết “ngay khi đăng nhập thì tài khoản đã bị đình chỉ mà không có cảnh báo hay thông báo nào”, và hiện đang thực hiện quy trình kháng nghị kéo dài 60 ngày
    • Ông cảnh báo rằng “nếu WireGuard xuất hiện lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, thì đã không thể phát hành bản vá ngay lập tức”, qua đó nêu bật mức độ rủi ro
    • Đội ngũ phát triển của WindscribeMemTest86 cũng cho biết họ không thể liên hệ được với bộ phận hỗ trợ của Microsoft trong nhiều tuần

Giải thích và các bước xử lý tiếp theo của Microsoft

  • Sau bài viết của TechCrunch, Phó chủ tịch Microsoft Scott Hanselman giải thích rằng các tài khoản nói trên đã bị đình chỉ tự động do không hoàn tất quy trình xác minh tài khoản bắt buộc của Windows Hardware Program
    • Theo ông, quy trình xác minh này áp dụng cho các đối tác chưa hoàn tất xác minh kể từ sau tháng 4/2024, và thông báo đã được gửi qua email từ tháng 10/2025
    • Theo thông báo trên Hardware Dev Center đăng ngày 1/10/2024, nếu không hoàn tất xác minh trong vòng 30 ngày thì tài khoản sẽ bị đình chỉ tự động
  • Trong bản cập nhật ngày 30/3/2026, Microsoft nêu rõ rằng “các tài khoản không hoàn tất xác minh sẽ bị đình chỉ khỏi Windows Hardware Program và không còn được phép gửi bản nộp nữa”
    • BleepingComputer đã gửi thêm câu hỏi tới người phát ngôn của Microsoft nhưng vẫn chưa nhận được phản hồi
  • Sau đó, Hanselman đã trực tiếp liên hệ với nhà phát triển VeraCrypt Idrassi để hỗ trợ khôi phục tài khoản, và Idrassi nói rằng “việc báo chí đưa tin và nội dung lan rộng trên mạng xã hội đã thúc đẩy phản ứng từ Microsoft
    • EVP phụ trách Windows và Devices của Microsoft Pavan Davuluri cho biết “công ty đã cố gắng để các đối tác biết về quy trình này thông qua email, banner và lời nhắc, nhưng một số bên đã bỏ sót”, đồng thời nói rằng Microsoft sẽ cải thiện cách giao tiếp

Phản ứng của cộng đồng

  • Một số người dùng chỉ ra rằng “ngay cả khi phát triển phần mềm được đưa vào sản phẩm của Microsoft, thực tế là khi có sự cố thì vẫn không thể nói chuyện trực tiếp với con người là điều đáng sợ
  • Một ý kiến khác phê phán rằng “quy trình kháng nghị quá phức tạp và kém hiệu quả, và việc một dự án cốt lõi như WireGuard bị ảnh hưởng là vấn đề nghiêm trọng”
  • Một số người khác để lại phản hồi tích cực, cho rằng “Scott Hanselman dù sao vẫn là người đáng tin cậy”

Bài viết liên quan

1 bình luận

 
GN⁺ 10 ngày trước
Ý kiến trên Hacker News

  • Bàn về sự việc Microsoft chấm dứt tài khoản VeraCrypt khiến Windows Update bị gián đoạn đã được thảo luận hôm qua
    Cũng đáng tham khảo chuỗi trước đó có kèm ý kiến của các nhà phát triển và bản cập nhật tiếp theo từ Microsoft

  • Microsoft gửi email có tiêu đề “Action required” quá thường xuyên
    Thực tế thì đa số chẳng cần làm gì, hoặc hoàn toàn không liên quan đến tôi
    Tìm lại các email kiểu này sẽ thấy đầy những việc mà rốt cuộc không làm gì cũng chẳng sao

    • Cứ liên tục báo động kiểu ‘cậu bé chăn cừu’ như vậy, thành ra cả những thông điệp thật sự quan trọng cũng bị phớt lờ
    • Trước đây tôi từng tham gia chương trình startup của Microsoft, nhưng phí Azure quá đắt và giao diện thì rối tung
      Dịch vụ tự động bật lên, rồi đến lúc hóa đơn gửi tới mới biết để mà tìm
      Đã 2 năm kể từ khi dừng chương trình mà tôi vẫn còn nhận mail “Action required”
      GitHub Desktop cũng tương tự — trên macOS không thể tắt tự động cập nhật và ngày nào cũng đòi quyền quản trị
      Kiểu hành hạ người dùng này theo tôi nên bị pháp luật ngăn lại
    • Hộp thư rác của tôi đầy những email “Action Required”
      Phần lớn là email lừa đảo, nên kể cả mail thật từ Microsoft tôi cũng không mở
    • Có lần tôi không hiểu nổi một email như vậy nói về cái gì nên đã mở ticket hỗ trợ, mà ngay cả nhân viên Microsoft cũng không biết nó liên quan đến tài nguyên nào
    • Trong các khóa đào tạo nhận thức bảo mật, người ta dạy rằng email có tiêu đề “Action required” là lừa đảo

  • Microsoft nói rằng “từ sự việc lần này sẽ xem xét cải thiện giao tiếp”,
    nghe chẳng khác gì Vogon sau khi cho nổ tung Trái Đất rồi bảo “lần sau làm tốt hơn nhé”

  • Trong ngành công nghệ, bảo mật thường chỉ là ‘màn diễn’
    Mục đích thực sự là dùng nó làm công cụ để áp đặt những chính sách khó chịu như kiểm soát truy cập hay xâm phạm quyền riêng tư
    Cả quy trình ký xác nhận rồi cũng dẫn đến việc một bên nắm toàn bộ quyền lực, và quyền lực đó lúc nào cũng bị lạm dụng

    • Có người cho rằng thay vì ngăn thất bại, đẩy trách nhiệm sang bảo hiểm còn tốt hơn
    • Phần lớn các biện pháp bảo mật đều tệ, nhưng điều đó không có nghĩa bản thân bảo mật là không cần thiết
      Vấn đề nghiêm trọng hơn là sự tập trung quyền lực của Big Tech
    • Nếu hy sinh nguyên tắc để đổi lấy thỏa hiệp thực dụng, cuối cùng sẽ mất cả hai

  • Quyết định lần này của Microsoft thật quá vô lý
    Trong lúc lượng người hâm mộ Windows đang giảm, hành động như vậy đúng là tự bắn vào chân mình
    Nhưng cũng có thể đây sẽ là dịp khiến mọi người nhận ra rủi ro của sự tập trung hóa

    • Hôm nay riêng việc đăng nhập Teams tôi đã thử suốt 20 phút mà vẫn thất bại vì rơi vào vòng lặp xác thực vô hạn
      Suốt ngày nói về thời đại tự động hóa AI mà đến một lần đăng nhập cũng làm không xong
    • Thiện cảm mà Satya Nadella gây dựng trong giai đoạn 2014~2022 đã biến mất hoàn toàn
      Giờ công ty chỉ còn nhìn vào Azure và AI

  • Bài liên quan: sự việc tài khoản của nhà phát triển WireGuard VPN bị đình chỉ trên TechCrunch
    Cũng được bàn trong chuỗi HN

    • Theo nguồn tốt hơn, đây không chỉ là xác thực email đơn thuần mà còn yêu cầu tải lên giấy tờ tùy thân do chính phủ cấp
      Nhưng một số nhà phát triển lại không hề được thông báo về quy trình này

  • Trong bài trên The Register đã có lập trường chính thức của Microsoft

    • Trước đây tôi từng làm Microsoft Partner, và để duy trì tư cách đối tác thì cần có chứng chỉ nhà phát triển được công nhận
      Khi chứng chỉ đó bị bãi bỏ, có vẻ như các đối tác không còn nhà phát triển được chứng nhận đã bị dọn hàng loạt

  • “Microslop” lại tiếp tục phá hỏng thương hiệu của chính mình
    Giờ mọi người có thể chuyển sang MacOS hoặc Linux

    • Tôi đã vận hành Forgejo hơn 1 năm nay, chạy nhanh và các tính năng cốt lõi đều miễn phí
      Nó chạy tốt cả trên Raspberry Pi 4 (1GB RAM)
      Chỉ cần thiết lập HTTPS bằng Docker Compose và Caddy, rồi sao lưu bằng cron + git pull là đủ
      Chạy test Rust hay Python cũng không có vấn đề gì
    • Nhưng Apple cũng làm điều tương tự trên App Store
      Mô hình app store độc quyền mới là gốc rễ của vấn đề
    • Đa số mọi người chỉ dùng máy tính do công ty cấp
      Thực sự không có nhiều người muốn đổi hệ điều hành
    • Thiết bị Apple thì đắt, còn laptop Linux vẫn khó thấy ở cửa hàng
      Nên khó có một làn sóng dịch chuyển đại chúng
    • Tôi dùng PC Windows 11 cho công việc, và nó chậm đến mức gây sốc
      Còn chậm hơn cả Q6600 đời 2007 + Windows XP

  • Trên Linux và Mac của tôi, WireGuard vẫn hoạt động tốt
    Có vẻ Microsoft không nhận ra rằng việc chặn phần mềm cốt lõi như thế này còn gây thiệt hại cho chính họ nhiều hơn

    • Dạo này các tập đoàn lớn chẳng còn ai xem xét cho tử tế
      Bot tự động khóa tài khoản, và khi cố gỡ khóa thì chỉ gặp toàn tường

  • Theo lời Scott Hanselman, Phó chủ tịch Microsoft,
    đợt đình chỉ này là việc tự động chặn “các đối tác chưa hoàn tất xác minh tài khoản sau tháng 4 năm 2024”
    Nhưng trên thực tế, nó gần với chấm dứt tài khoản (termination) hơn là chỉ đình chỉ (suspension)