Microsoft menangguhkan akun pengembang proyek open source utama

 (bleepingcomputer.com)
2 poin oleh GN⁺ 8 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Microsoft menangguhkan akun pengembang untuk proyek open source utama seperti WireGuard, VeraCrypt, MemTest86, dan Windscribe VPN tanpa pemberitahuan sebelumnya, sehingga distribusi build untuk Windows dan patch keamanan terhenti
  • Akun yang ditangguhkan adalah akun mitra Windows Hardware Program, dan tidak tersedia prosedur pemulihan maupun cara reaktivasi cepat
  • Pengembang VeraCrypt dan WireGuard menyatakan akun mereka diblokir tanpa peringatan atau email, serta kontak dengan tim dukungan hanya berujung pada balasan otomatis
  • Microsoft menjelaskan bahwa ini adalah penangguhan otomatis karena prosedur verifikasi akun wajib tidak diselesaikan, lalu membantu memulihkan sebagian akun dan berjanji memperbaiki komunikasi
  • Di komunitas muncul kritik terhadap ketidakefisienan proses banding dan kurangnya dukungan bagi pengembang, serta kekhawatiran karena proyek open source penting ikut terdampak

Kontroversi penangguhan akun pengembang open source oleh Microsoft

  • Microsoft menangguhkan akun pengembang proyek open source utama tanpa pemberitahuan sebelumnya, yang menyebabkan distribusi build baru dan patch keamanan untuk Windows terhenti
    • Akun yang ditangguhkan adalah akun mitra Windows Hardware Program, dan tidak tersedia prosedur pemulihan maupun cara reaktivasi cepat
  • Proyek yang terdampak mencakup WireGuard, VeraCrypt, MemTest86, dan Windscribe VPN
    • Proyek-proyek ini selama ini menggunakan akun Microsoft untuk penandatanganan driver Windows dan penandatanganan bootloader
  • Pengembang VeraCrypt, Mounir Idrassi, mengatakan akun yang telah dipakainya selama bertahun-tahun dihentikan tanpa pemberitahuan, dan ia hanya menerima notifikasi tanpa email atau peringatan serta tidak bisa mengajukan banding
    • Ia menjelaskan bahwa meski sudah menghubungi dukungan Microsoft melalui berbagai jalur, yang merespons hanya autoresponder dan bot, tanpa tersambung ke petugas yang sebenarnya
    • Pembaruan untuk Linux dan macOS masih bisa dilakukan, tetapi karena mayoritas pengguna memakai Windows, dampaknya sangat besar
  • Pemelihara WireGuard Jason A. Donenfeld juga mengatakan, “Begitu saya login, akun langsung ditangguhkan tanpa peringatan atau notifikasi,” dan menyebut sedang menjalani proses banding 60 hari
    • Ia menyoroti risikonya dengan mengatakan bahwa “jika WireGuard mengalami kerentanan remote code execution (RCE) yang serius, distribusi patch segera tidak akan mungkin dilakukan”
    • Tim pengembang Windscribe dan MemTest86 juga melaporkan tidak dapat menghubungi dukungan Microsoft selama berminggu-minggu

Penjelasan Microsoft dan tindak lanjut

  • Setelah laporan TechCrunch, Wakil Presiden Microsoft Scott Hanselman menjelaskan bahwa akun-akun tersebut ditangguhkan otomatis karena tidak menyelesaikan prosedur verifikasi akun wajib dalam Windows Hardware Program
    • Prosedur verifikasi ini berlaku untuk mitra yang belum menyelesaikannya sejak April 2024, dan disebut telah diberitahukan melalui email mulai Oktober 2025
    • Menurut pengumuman Hardware Dev Center yang dipublikasikan pada 1 Oktober 2024, penangguhan otomatis dilakukan jika verifikasi tidak diselesaikan dalam 30 hari
  • Dalam pembaruan 30 Maret 2026, Microsoft menyatakan bahwa “akun yang gagal menyelesaikan verifikasi akan ditangguhkan dari Windows Hardware Program dan pengajuan tidak lagi diizinkan”
    • BleepingComputer telah mengirim pertanyaan tambahan kepada juru bicara Microsoft, tetapi belum menerima jawaban
  • Setelah itu, Hanselman menghubungi langsung pengembang VeraCrypt Idrassi untuk membantu pemulihan akun, dan Idrassi mengatakan bahwa “liputan media dan penyebaran di media sosial mendorong respons Microsoft
    • EVP Microsoft untuk Windows and Devices Pavan Davuluri mengatakan, “Kami telah berupaya memberi tahu mitra tentang prosedur ini melalui email, banner, dan pengingat, tetapi sebagian ada yang melewatkannya,” serta menyatakan akan memperbaiki cara komunikasi

Reaksi komunitas

  • Sejumlah pengguna menyoroti bahwa “meskipun mengembangkan perangkat lunak yang disertakan dalam produk Microsoft, menakutkan ketika saat masalah terjadi kita tidak bisa berbicara langsung dengan manusia
  • Pendapat lain mengkritik bahwa “proses banding terlalu rumit dan tidak efisien, dan menjadi masalah ketika proyek penting seperti WireGuard ikut terdampak”
  • Sebagian juga memberi respons positif dengan mengatakan bahwa “Scott Hanselman setidaknya adalah sosok yang bisa dipercaya”

Bacaan terkait

1 komentar

 
GN⁺ 8 hari lalu
Komentar Hacker News

  • Membahas insiden yang dibicarakan kemarin, ketika Microsoft menonaktifkan akun VeraCrypt hingga pembaruan Windows terhenti
    Sebagai lanjutan, thread sebelumnya yang memuat pendapat para pengembang dan pembaruan lanjutan dari Microsoft juga layak dibaca

  • Microsoft terlalu sering mengirim email dengan judul “Action required
    Pada kenyataannya, kebanyakan tidak memerlukan tindakan apa pun, atau bahkan tidak ada kaitannya dengan saya
    Kalau dicari, akan ada banyak sekali email seperti itu yang akhirnya memang tidak perlu ditindaklanjuti

    • Karena terus-menerus menebar peringatan seperti “anak gembala pembohong”, orang jadi mengabaikan pesan yang benar-benar penting
    • Dulu saya pernah ikut program startup Microsoft, tetapi biaya Azure terlalu mahal dan antarmukanya juga berantakan
      Layanan bisa aktif otomatis, dan saya bahkan tidak bisa menemukannya sampai tagihan datang kemudian
      Sudah 2 tahun sejak saya keluar dari program itu, tetapi email “Action required” masih terus datang
      GitHub Desktop juga mirip — di macOS tidak bisa mematikan pembaruan otomatis, dan setiap hari meminta hak admin
      Pelecehan terhadap pengguna seperti ini menurut saya seharusnya dilarang oleh hukum
    • Kotak spam saya penuh dengan email “Action Required”
      Sebagian besar adalah email phishing, jadi bahkan email Microsoft yang asli pun tidak saya buka
    • Pernah sekali saya benar-benar tidak paham isi email seperti itu sampai saya membuka tiket dukungan, dan bahkan staf Microsoft sendiri tidak tahu itu terkait resource yang mana
    • Dalam pelatihan kesadaran keamanan, saya diajari bahwa email dengan judul “Action required” adalah phishing

  • Microsoft mengatakan bahwa dari kejadian ini mereka akan meninjau perbaikan komunikasi,
    tetapi itu terasa seperti Vogon yang meledakkan Bumi lalu berkata, “lain kali kita coba lebih baik”

  • Di industri teknologi, keamanan sering kali cuma ‘pertunjukan’
    Tujuan sebenarnya adalah mendorong kebijakan yang tidak nyaman seperti kontrol akses atau pelanggaran privasi
    Prosedur penandatanganan pada akhirnya juga membuat satu pihak memegang seluruh kekuasaan, dan kekuasaan itu selalu disalahgunakan

    • Ada orang yang menganggap alih-alih mencegah kegagalan, lebih baik melempar tanggung jawab ke asuransi
    • Sebagian besar keamanan memang berantakan, tetapi itu bukan berarti keamanan itu sendiri tidak perlu
      Hanya saja, konsentrasi kekuasaan Big Tech adalah masalah serius
    • Jika prinsip dikorbankan demi kompromi yang pragmatis, pada akhirnya keduanya akan hilang

  • Keputusan Microsoft kali ini benar-benar keterlaluan
    Di saat basis penggemar Windows sedang menyusut, tindakan seperti ini justru menembak kaki sendiri
    Namun, kejadian seperti ini bisa menjadi momentum untuk menyadarkan orang akan bahaya sentralisasi

    • Hari ini saja saya mencoba login ke Teams selama 20 menit, tetapi gagal karena terjebak dalam loop autentikasi tanpa akhir
      Katanya ini era otomatisasi AI, tetapi login saja tidak beres
    • Reputasi baik yang dibangun Satya Nadella dari 2014~2022 lenyap sepenuhnya
      Sekarang Microsoft terasa seperti perusahaan yang hanya memandangi Azure dan AI

  • Artikel terkait: kasus penangguhan akun pengembang WireGuard VPN dari TechCrunch
    Juga dibahas di thread HN

    • Menurut sumber yang lebih baik, bukan sekadar verifikasi email, melainkan perlu mengunggah identitas resmi yang diterbitkan pemerintah
      Namun, sebagian pengembang sama sekali tidak menerima pemberitahuan mengenai prosedur ini

  • Dalam artikel The Register muncul pernyataan resmi Microsoft

    • Saya dulu pernah bekerja sebagai Microsoft Partner, dan untuk mempertahankan status partner diperlukan sertifikasi pengembang resmi
      Setelah sertifikasi itu dihapus, tampaknya partner yang tidak memiliki pengembang tersertifikasi dibersihkan sekaligus

  • “Microslop” sekali lagi sedang merusak mereknya sendiri
    Kini orang-orang mungkin akan pindah ke macOS atau Linux

    • Saya sudah menjalankan Forgejo lebih dari setahun, cepat dan fitur intinya gratis
      Bahkan berjalan baik di Raspberry Pi 4 (RAM 1GB)
      Cukup atur HTTPS dengan Docker Compose dan Caddy, lalu cadangkan memakai cron + git pull
      Menjalankan pengujian Rust atau Python juga bukan masalah
    • Namun Apple juga melakukan hal serupa di App Store
      Struktur app store yang monopoli adalah akar masalahnya
    • Kebanyakan orang hanya memakai komputer yang diberikan kantor
      Tidak banyak yang benar-benar ingin mengganti OS
    • Perangkat Apple mahal, dan laptop Linux masih sulit ditemukan di toko
      Jadi perpindahan massal akan sulit terjadi
    • Saya memakai PC Windows 11 kantor, dan performanya sangat lambat sampai mengejutkan
      Bahkan lebih lambat daripada Q6600 keluaran 2007 + Windows XP

  • Di Linux dan Mac saya, WireGuard bekerja dengan baik
    Tampaknya Microsoft tidak sadar bahwa memblokir software inti seperti ini justru lebih merugikan dirinya sendiri

    • Belakangan ini perusahaan-perusahaan besar tidak benar-benar meninjau apa pun dengan layak
      Bot otomatis memblokir akun, dan saat mencoba membukanya kembali, yang ditemui hanya tembok

  • Menurut wakil presiden Microsoft Scott Hanselman,
    penangguhan kali ini adalah pemblokiran otomatis terhadap “partner yang belum menyelesaikan verifikasi akun sejak April 2024”
    Namun pada praktiknya, ini lebih mendekati penghentian akun (termination) daripada sekadar penangguhan (suspension)