- Perangkat lunak enkripsi open source VeraCrypt sepenuhnya terblokir dari distribusi pembaruan Windows setelah akun mereka tiba-tiba dihentikan oleh Microsoft, menjadi contoh yang menyoroti kerentanan rantai pasok perangkat lunak open source yang bergantung pada perusahaan teknologi besar
- Pengembang VeraCrypt, Mounir Idrassi, menemukan bahwa pada pertengahan Januari akun penandatanganan driver dan bootloader Windows miliknya telah dihentikan tanpa peringatan sebelumnya, dan setelah itu ia mencoba menghubungi Microsoft namun hanya menerima balasan otomatis yang tampaknya dihasilkan AI
- Satu-satunya pesan resmi yang dikirim Microsoft hanyalah pemberitahuan "tidak memenuhi persyaratan", tetapi akun tersebut ditutup tanpa alasan spesifik maupun prosedur banding, dan tidak ada penjelasan sama sekali tentang persyaratan apa yang tiba-tiba tidak lagi dipenuhi
- Pengembang WireGuard, Jason Donenfeld, juga menyatakan menghadapi masalah yang sama, menunjukkan bahwa ini bukan persoalan yang terbatas pada VeraCrypt saja
- Pembaruan Linux·macOS masih bisa dilanjutkan, tetapi karena mayoritas pengguna berada di platform Windows, ketidakmampuan mendistribusikan versi Windows menjadi pukulan yang sangat serius bagi keseluruhan proyek
Apa itu VeraCrypt
- Alat open source untuk melindungi file dalam bentuk pembuatan partisi terenkripsi di drive atau volume terenkripsi terpisah
- Dibuat berdasarkan pendahulunya, TrueCrypt, dan juga menyediakan fitur volume ganda (hidden volume) untuk situasi ketika pengguna dipaksa menyerahkan kredensial
Kronologi kejadian
- Idrassi menjelaskan langsung di forum SourceForge alasan mengapa tidak ada aktivitas selama beberapa bulan
- Pada pertengahan Januari, ia mendapati akun penandatanganan driver dan bootloader Windows yang telah digunakan selama bertahun-tahun tiba-tiba tidak bisa lagi dipakai
- Tidak ada email maupun peringatan sebelumnya sama sekali, dan satu-satunya pesan yang diterima dari Microsoft hanya menyatakan bahwa ia "saat ini tidak memenuhi persyaratan"
- Pesan tersebut hanya berisi pemberitahuan bahwa banding tidak dimungkinkan dan bahwa pengajuan telah ditutup
- Tidak ada penjelasan sama sekali mengenai persyaratan apa yang mendadak tidak lagi dipenuhi oleh perusahaan Idrassi, IDRIX
Reaksi dan kekhawatiran pengembang
- Ia telah menghubungi tim dukungan Microsoft, tetapi hanya menerima balasan otomatis yang tampaknya dihasilkan AI
- Ia mengkritik keras minimnya komunikasi dari Microsoft, dengan menyatakan bahwa "setidaknya mereka seharusnya menjelaskan apa masalahnya"
- Ia juga menyoroti bahwa "jika tidak ada komunikasi saat keputusan seperti ini diambil, ketidakpastian terhadap masa depan akan membesar, dan balasan AI yang otomatis membuat proses ini terasa tidak manusiawi"
WireGuard juga mengalami hal yang sama
- Jason Donenfeld, pengembang klien VPN populer WireGuard, juga memposting masalah yang sama di Hacker News
- Ia menyebut, "tanpa peringatan, tanpa pemberitahuan, suatu hari saat saya login untuk mendistribusikan pembaruan, akun saya sudah dibekukan"
Dampak lebih luas
- Windows adalah platform yang digunakan mayoritas pengguna VeraCrypt, sehingga ketidakmampuan mendistribusikan pembaruan Windows menjadi pukulan fatal bagi proyek ini
- Pembaruan Linux·macOS masih dimungkinkan, tetapi dukungan untuk platform utama tetap terhenti
- Insiden ini menyoroti risiko rantai pasok yang bisa muncul ketika perangkat lunak open source bergantung, bahkan sebagian, pada infrastruktur perusahaan teknologi besar
- Microsoft tidak menanggapi permintaan komentar
Belum ada komentar.