Microsoft sperrt Entwicklerkonten bedeutender Open-Source-Projekte

 (bleepingcomputer.com)
2 Punkte von GN⁺ 18 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Microsoft hat die Entwicklerkonten bedeutender Open-Source-Projekte wie WireGuard, VeraCrypt, MemTest86 und Windscribe VPN ohne vorherige Ankündigung gesperrt, wodurch die Verteilung von Builds und Sicherheits-Patches für Windows unterbrochen wurde
  • Bei den gesperrten Konten handelt es sich um Partnerkonten des Windows Hardware Programms; ein Wiederherstellungsverfahren oder eine Möglichkeit zur schnellen Reaktivierung wurde nicht bereitgestellt
  • Die Entwickler von VeraCrypt und WireGuard erklärten, ihre Konten seien ohne Warnung oder E-Mail blockiert worden, und der Kontakt zum Support habe sich auf automatische Antworten beschränkt
  • Microsoft erklärte, es habe sich um eine automatische Sperrung wegen nicht abgeschlossener obligatorischer Kontoverifizierung gehandelt, und sagte später Unterstützung bei der Wiederherstellung einiger Konten sowie eine Verbesserung der Kommunikation zu
  • In der Community wird die Ineffizienz des Einspruchsverfahrens und die unzureichende Unterstützung für Entwickler kritisiert; zugleich gibt es Sorge darüber, dass zentrale Open-Source-Projekte betroffen sind

Kontroverse um die Sperrung von Open-Source-Entwicklerkonten durch Microsoft

  • Microsoft hat die Entwicklerkonten wichtiger Open-Source-Projekte ohne vorherige Ankündigung gesperrt, wodurch die Verteilung neuer Builds und Sicherheits-Patches für Windows unterbrochen wurde
    • Bei den gesperrten Konten handelt es sich um Partnerkonten des Windows Hardware Programms; ein Wiederherstellungsverfahren oder eine Möglichkeit zur schnellen Reaktivierung wurde nicht bereitgestellt
  • Zu den betroffenen Projekten gehören WireGuard, VeraCrypt, MemTest86 und Windscribe VPN
    • Diese Projekte haben Microsoft-Konten für die Signierung von Windows-Treibern und Bootloadern verwendet
  • VeraCrypt-Entwickler Mounir Idrassi erklärte, sein seit Jahren genutztes Konto sei ohne Vorwarnung geschlossen worden und er habe lediglich eine Mitteilung ohne E-Mail oder Warnung erhalten; ein Einspruch sei nicht möglich gewesen
    • Er habe über mehrere Wege versucht, den Microsoft-Support zu kontaktieren, doch es seien nur automatische Antworten und Bots gekommen, ohne Verbindung zu einer realen Ansprechperson
    • Updates für Linux und macOS seien zwar möglich, doch da die meisten Nutzer Windows verwenden, sei der Schaden erheblich, sagte er
  • WireGuard-Maintainer Jason A. Donenfeld sagte ebenfalls, sein Konto sei „ohne Warnung oder Benachrichtigung direkt nach dem Login gesperrt“ worden, und er befinde sich nun in einem 60-tägigen Einspruchsverfahren
    • Er wies auf das Risiko hin: „Falls bei WireGuard eine schwerwiegende Remote-Code-Execution-(RCE)-Schwachstelle auftreten würde, wäre eine sofortige Patch-Verteilung nicht möglich gewesen“
    • Auch die Entwicklerteams von Windscribe und MemTest86 berichteten, über Wochen keinen Kontakt zum Microsoft-Support herstellen zu können

Microsofts Erklärung und weitere Maßnahmen

  • Nach einem Bericht von TechCrunch erklärte Microsoft-Vizepräsident Scott Hanselman, dass die betreffenden Konten wegen nicht abgeschlossener obligatorischer Kontoverifizierung im Windows Hardware Program automatisch gesperrt wurden
    • Dieses Verifizierungsverfahren betreffe Partner, die es seit April 2024 nicht abgeschlossen hätten; ab Oktober 2025 sei darüber per E-Mail informiert worden
    • Laut einer am 1. Oktober 2024 veröffentlichten Mitteilung im Hardware Dev Center erfolgt eine automatische Sperrung, wenn die Verifizierung nicht innerhalb von 30 Tagen abgeschlossen wird
  • Microsoft stellte in einem Update vom 30. März 2026 klar: „Konten, die die Verifizierung nicht abschließen, werden im Windows Hardware Program gesperrt, und Einreichungen sind dann nicht mehr zulässig“
    • BleepingComputer habe zusätzliche Fragen an einen Microsoft-Sprecher geschickt, aber bislang keine Antwort erhalten
  • Später kontaktierte Hanselman VeraCrypt-Entwickler Idrassi direkt und unterstützte die Wiederherstellung des Kontos; Idrassi sagte, die Berichterstattung in den Medien und die Verbreitung in sozialen Medien hätten Microsoft zum Handeln bewegt
    • Pavan Davuluri, EVP für Windows und Devices bei Microsoft, sagte: „Wir haben versucht, Partner über E-Mails, Banner und Erinnerungen auf dieses Verfahren aufmerksam zu machen, aber einige haben es verpasst“, und kündigte an, die Kommunikationswege zu verbessern

Reaktionen aus der Community

  • Einige Nutzer wiesen darauf hin, dass es „beängstigend ist, selbst bei der Entwicklung von Software, die in Microsoft-Produkten enthalten ist, im Problemfall nicht direkt mit einem Menschen sprechen zu können
  • Andere kritisierten, das Einspruchsverfahren sei übermäßig kompliziert und ineffizient, und es sei problematisch, dass zentrale Projekte wie WireGuard davon betroffen seien
  • Manche äußerten sich auch positiv und meinten, „Scott Hanselman ist immerhin eine vertrauenswürdige Person“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 18 일 전
Hacker-News-Kommentare

  • Es geht um den gestern diskutierten Vorfall, bei dem Microsoft das VeraCrypt-Konto beendet hat und dadurch Windows-Updates unterbrochen wurden
    Außerdem lohnt sich ein Blick auf den vorherigen Thread mit den Reaktionen der Entwickler und Microsofts anschließendem Update

  • Microsoft verschickt viel zu oft E-Mails mit „Action required“ im Betreff
    Tatsächlich ist meistens gar keine Maßnahme nötig oder es betrifft einen gar nicht
    Wenn man diese E-Mails durchsucht, findet man jede Menge Fälle, bei denen man am Ende einfach nichts tun musste

    • Durch diese ständigen Warnungen nach dem Junge-wolf-ruft-Prinzip ignoriert man irgendwann auch wirklich wichtige Nachrichten
    • Ich war früher in Microsofts Startup-Programm, aber die Azure-Gebühren waren viel zu hoch und die Oberfläche war chaotisch
      Dienste wurden automatisch aktiviert, und man konnte sie oft erst finden, wenn später die Rechnung kam
      Obwohl ich das Programm seit zwei Jahren nicht mehr nutze, kommen immer noch „Action required“-Mails
      Bei GitHub Desktop ist es ähnlich — unter macOS lässt sich Auto-Update nicht deaktivieren, und jeden Tag werden Administratorrechte verlangt
      Solche Schikanen für Nutzer sollten meiner Meinung nach gesetzlich unterbunden werden
    • Mein Spam-Ordner ist voller „Action Required“-Mails
      Die meisten davon sind Phishing-Mails, deshalb öffne ich selbst echte Microsoft-Mails nicht
    • Einmal habe ich wegen so einer Mail ein Support-Ticket eröffnet, weil sie völlig unverständlich war, und selbst der Microsoft-Mitarbeiter wusste nicht, auf welche Ressource sie sich bezog
    • In Security-Awareness-Schulungen habe ich gelernt, dass Mails mit „Action required“ im Betreff Phishing sind

  • Microsoft sagte, man werde den Vorfall zum Anlass nehmen, die Kommunikation zu verbessern,
    was ein bisschen so klingt, als würde ein Vogone nach der Sprengung der Erde sagen: Beim nächsten Mal machen wir es besser

  • In der Tech-Branche ist Sicherheit oft nur Show
    Der eigentliche Zweck ist häufig, unbequeme Richtlinien wie Zugangskontrolle oder Eingriffe in die Privatsphäre durchzusetzen
    Auch Signaturverfahren führen am Ende dazu, dass eine Seite die ganze Macht in der Hand hält, und diese Macht wird immer missbraucht

    • Manche halten es für besser, Verantwortung über Versicherungen abzuwälzen, statt Fehler wirklich zu verhindern
    • Die meiste Security ist miserabel, aber das heißt nicht, dass Security an sich überflüssig ist
      Das eigentliche Problem ist vielmehr die Machtkonzentration bei Big Tech
    • Wenn man für pragmatische Kompromisse seine Prinzipien opfert, verliert man am Ende beides

  • Microsofts Entscheidung in diesem Fall ist völlig absurd
    In einer Zeit, in der die Windows-Fanbasis schrumpft, ist so etwas ein Schuss ins eigene Knie
    Vielleicht hilft so ein Vorfall aber wenigstens dabei, die Risiken von Zentralisierung deutlicher zu machen

    • Ich habe heute allein 20 Minuten lang versucht, mich bei Teams anzumelden, und bin in einer endlosen Authentifizierungs-Schleife gescheitert
      Alle reden vom Zeitalter der KI-Automatisierung, aber nicht mal ein Login funktioniert ordentlich
    • Der von Satya Nadella zwischen 2014 und 2022 aufgebaute Goodwill ist komplett verschwunden
      Jetzt wirkt das Unternehmen so, als interessiere es sich nur noch für Azure und KI

  • Verwandter Artikel: TechCrunch über die Sperrung des Entwicklerkontos eines WireGuard-VPN-Entwicklers
    Auch im HN-Thread wurde darüber diskutiert

    • Einer besseren Quelle zufolge ging es nicht nur um eine einfache E-Mail-Bestätigung, sondern um das Hochladen eines staatlich ausgestellten Ausweises
      Einige Entwickler wurden darüber allerdings überhaupt nicht informiert

  • Im Artikel von The Register wurde Microsofts offizielle Position veröffentlicht

    • Ich habe früher als Microsoft-Partner gearbeitet, und um den Partnerstatus zu behalten, brauchte man zertifizierte Entwicklerzertifikate
      Nachdem diese Zertifikate abgeschafft wurden, scheint es, als seien Partner ohne zertifizierte Entwickler gesammelt aussortiert worden

  • „Microslop“ zerstört wieder einmal die eigene Marke
    Jetzt könnten Leute tatsächlich zu macOS oder Linux wechseln

    • Ich betreibe seit über einem Jahr Forgejo; es ist schnell und die Kernfunktionen sind kostenlos
      Es läuft sogar gut auf einem Raspberry Pi 4 (1 GB RAM)
      HTTPS lässt sich mit Docker Compose und Caddy einrichten, und mit cron + git pull für Backups reicht das völlig aus
      Auch Rust- oder Python-Tests laufen problemlos
    • Allerdings macht Apple im App Store ähnliche Dinge
      Die monopolistische App-Store-Struktur ist das eigentliche Grundproblem
    • Die meisten Leute benutzen einfach den Computer, den ihre Firma ihnen gibt
      Wirklich viele wollen das OS nicht wechseln
    • Apple-Geräte sind teuer, und Linux-Laptops sieht man im Laden immer noch kaum
      Deshalb ist eine breite Abwanderung unwahrscheinlich
    • Ich nutze einen Windows-11-PC fürs Büro, und er ist so erschreckend langsam
      Sogar langsamer als ein Q6600 von 2007 mit Windows XP

  • Auf meinem Linux und meinem Mac funktioniert WireGuard problemlos
    Microsoft scheint nicht zu begreifen, dass das Blockieren solcher Kernsoftware dem Unternehmen selbst mehr schadet

    • In großen Unternehmen prüft heute offenbar kaum noch jemand etwas richtig
      Automatisierte Bots sperren Konten, und wenn man die Sperre aufheben will, stößt man nur auf Mauern

  • Laut Microsoft-Vizepräsident Scott Hanselman
    wurden diesmal automatisch „Partner blockiert, die ihre Kontoverifizierung seit April 2024 nicht abgeschlossen hatten“
    Tatsächlich wirkt das jedoch weniger wie eine Sperrung (suspension) als vielmehr wie eine Kündigung des Kontos (termination)