Microsoft ระงับบัญชีนักพัฒนาของโครงการโอเพนซอร์สสำคัญ

 (bleepingcomputer.com)
2 คะแนน โดย GN⁺ 18 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Microsoft ระงับบัญชีนักพัฒนาของโครงการโอเพนซอร์สสำคัญ เช่น WireGuard, VeraCrypt, MemTest86 และ Windscribe VPN โดยไม่แจ้งล่วงหน้า ส่งผลให้การแจกจ่ายบิลด์สำหรับ Windows และแพตช์ความปลอดภัยหยุดชะงัก
  • บัญชีที่ถูกระงับเป็น บัญชีพาร์ตเนอร์ Windows Hardware Program โดยไม่มีขั้นตอนกู้คืนหรือวิธีเปิดใช้งานใหม่แบบเร่งด่วนให้ใช้งาน
  • นักพัฒนา VeraCrypt และ WireGuard ระบุว่าบัญชีถูกบล็อกโดยไม่มีคำเตือนหรืออีเมลใดๆ และการติดต่อทีมซัพพอร์ตก็ได้รับเพียงข้อความตอบกลับอัตโนมัติ
  • Microsoft ชี้แจงว่าเป็น การระงับอัตโนมัติจากการไม่ดำเนินการตามขั้นตอนยืนยันบัญชีที่จำเป็น และภายหลังได้ช่วยกู้คืนบางบัญชีพร้อมสัญญาว่าจะปรับปรุงการสื่อสาร
  • ในชุมชนมีเสียงวิจารณ์ ความไม่มีประสิทธิภาพของกระบวนการอุทธรณ์และการขาดการสนับสนุนนักพัฒนา พร้อมแสดงความกังวลที่โครงการโอเพนซอร์สสำคัญได้รับผลกระทบ

ประเด็นถกเถียงเรื่อง Microsoft ระงับบัญชีนักพัฒนาโอเพนซอร์ส

  • Microsoft ระงับบัญชีนักพัฒนาของโครงการโอเพนซอร์สสำคัญโดยไม่แจ้งล่วงหน้า ทำให้การแจกจ่ายบิลด์ใหม่และแพตช์ความปลอดภัยสำหรับ Windows หยุดชะงัก
    • บัญชีที่ถูกระงับคือบัญชีพาร์ตเนอร์ Windows Hardware Program โดยไม่มีขั้นตอนกู้คืนหรือวิธีเปิดใช้งานใหม่แบบเร่งด่วนให้ใช้งาน
  • โครงการที่ได้รับผลกระทบมีทั้ง WireGuard, VeraCrypt, MemTest86, Windscribe VPN เป็นต้น
    • โครงการเหล่านี้ใช้บัญชี Microsoft สำหรับการเซ็นไดรเวอร์ Windows และการเซ็นบูตโหลดเดอร์มาโดยตลอด
  • Mounir Idrassi นักพัฒนา VeraCrypt เปิดเผยว่าบัญชีที่ใช้งานมาหลายปีถูกปิดโดยไม่มีสัญญาณล่วงหน้า และ ได้รับเพียงการแจ้งโดยไม่มีอีเมลหรือคำเตือนใดๆ อีกทั้งยังไม่สามารถอุทธรณ์ได้
    • เขาอธิบายว่าแม้จะพยายามติดต่อฝ่ายสนับสนุนของ Microsoft ผ่านหลายช่องทาง แต่ มีเพียงระบบตอบกลับอัตโนมัติและบอตที่ตอบมา โดยไม่สามารถติดต่อเจ้าหน้าที่จริงได้
    • แม้จะยังอัปเดตสำหรับ Linux และ macOS ได้ แต่ก็ระบุว่า เป็นผลกระทบใหญ่เพราะผู้ใช้ส่วนใหญ่ใช้งาน Windows
  • Jason A. Donenfeld ผู้ดูแล WireGuard ก็ระบุเช่นกันว่า “ทันทีที่ล็อกอิน บัญชีก็ถูกระงับโดยไม่มีคำเตือนหรือการแจ้งเตือนใดๆ” และกำลังอยู่ระหว่างกระบวนการอุทธรณ์ 60 วัน
    • เขาชี้ถึงความเสี่ยงว่า “หาก WireGuard เกิดช่องโหว่ร้ายแรงแบบ remote code execution (RCE) ก็อาจไม่สามารถปล่อยแพตช์ได้ทันที”
    • ทีมพัฒนาของ Windscribe และ MemTest86 ก็รายงานเช่นกันว่าไม่สามารถติดต่อทีมซัพพอร์ตของ Microsoft ได้เป็นเวลาหลายสัปดาห์

คำชี้แจงของ Microsoft และการดำเนินการหลังจากนั้น

  • หลังจาก TechCrunch รายงานข่าว, Scott Hanselman รองประธานของ Microsoft อธิบายว่าบัญชีเหล่านี้ ถูกระงับอัตโนมัติเนื่องจากไม่ได้ดำเนินการตามขั้นตอนยืนยันบัญชีที่จำเป็นของ Windows Hardware Program
    • ขั้นตอนยืนยันนี้ใช้กับพาร์ตเนอร์ที่ยังดำเนินการไม่เสร็จนับตั้งแต่เดือนเมษายน 2024 และระบุว่าได้มีการแจ้งทางอีเมลมาตั้งแต่เดือนตุลาคม 2025
    • ตามประกาศของ Hardware Dev Center ที่เผยแพร่เมื่อวันที่ 1 ตุลาคม 2024 หาก ไม่ยืนยันให้เสร็จภายใน 30 วัน จะถูกระงับอัตโนมัติ
  • Microsoft ระบุไว้ในอัปเดตวันที่ 30 มีนาคม 2026 ว่า “บัญชีที่ไม่สามารถยืนยันให้เสร็จสมบูรณ์จะถูกระงับจาก Windows Hardware Program และจะไม่สามารถส่งงานได้อีกต่อไป”
    • BleepingComputer ได้ส่งคำถามเพิ่มเติมไปยังโฆษกของ Microsoft แต่ยังไม่ได้รับคำตอบ
  • ต่อมา Hanselman ได้ติดต่อ Idrassi นักพัฒนา VeraCrypt โดยตรงเพื่อช่วยกู้คืนบัญชี และ Idrassi กล่าวถึงเรื่องนี้ว่า “การรายงานของสื่อและการกระจายข่าวบนโซเชียลมีเดียเป็นตัวผลักดันให้ Microsoft ตอบสนอง
    • Pavan Davuluri EVP ฝ่าย Windows and Devices ของ Microsoft กล่าวว่า “เราได้พยายามแจ้งให้พาร์ตเนอร์รับรู้ขั้นตอนนี้ผ่านอีเมล แบนเนอร์ และการแจ้งเตือนซ้ำ แต่บางรายก็พลาดไป” พร้อมระบุว่าจะ ปรับปรุงวิธีการสื่อสาร

ปฏิกิริยาจากชุมชน

  • ผู้ใช้บางส่วนชี้ว่า “แม้จะเป็นการพัฒนาซอฟต์แวร์ที่รวมอยู่ในผลิตภัณฑ์ของ Microsoft แต่ เมื่อเกิดปัญหากลับไม่สามารถคุยกับคนจริงได้โดยตรง นี่เป็นเรื่องน่ากลัว
  • อีกความเห็นหนึ่งวิจารณ์ว่า “กระบวนการอุทธรณ์ซับซ้อนและไร้ประสิทธิภาพเกินไป และการที่โครงการสำคัญอย่าง WireGuard ได้รับผลกระทบก็เป็นปัญหา”
  • บางส่วนก็แสดงความเห็นเชิงบวกว่า “อย่างน้อย Scott Hanselman ก็ยังเป็นบุคคลที่น่าเชื่อถือ”

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 18 일 전
ความเห็นจาก Hacker News

  • พูดถึง กรณีที่ Microsoft ปิดบัญชี VeraCrypt จนทำให้ Windows Update หยุดทำงาน ซึ่งมีการพูดถึงเมื่อวาน
    และยังควรดู กระทู้ก่อนหน้า ที่รวมความเห็นของนักพัฒนาและอัปเดตเพิ่มเติมจาก Microsoft ด้วย

  • Microsoft ส่งอีเมลที่มีคำว่า “Action required” ในหัวเรื่องบ่อยเกินไป
    ทั้งที่ความจริงแล้วส่วนใหญ่มักไม่ต้องทำอะไรเลย หรือไม่เกี่ยวกับฉันด้วยซ้ำ
    พอลองค้นหาอีเมลพวกนี้ดู ก็พบว่ามีเรื่องมากมายที่ท้ายที่สุดแล้วไม่ต้องทำอะไรเลย

    • การเตือนพร่ำเพรื่อแบบ 'เด็กเลี้ยงแกะ' นี้ ทำให้สุดท้ายข้อความที่สำคัญจริง ๆ ก็ถูกเมินไปด้วย
    • ฉันเคยเข้าร่วมโปรแกรมสตาร์ตอัปของ Microsoft แต่ ค่าบริการ Azure แพงมาก และอินเทอร์เฟซก็แย่มาก
      บริการต่าง ๆ ถูกเปิดใช้งานอัตโนมัติ และกว่าจะหาเจอก็ตอนบิลถูกส่งมาทีหลัง
      เลิกใช้โปรแกรมนั้นมา 2 ปีแล้ว แต่ก็ยังได้รับอีเมล “Action required” อยู่
      GitHub Desktop ก็คล้ายกัน — บน macOS ปิดอัปเดตอัตโนมัติไม่ได้ และเรียกสิทธิ์ผู้ดูแลระบบทุกวัน
      ฉันคิดว่าการ รบกวนผู้ใช้ แบบนี้ควรถูกห้ามด้วยกฎหมาย
    • ในกล่องสแปมของฉันเต็มไปด้วยอีเมล “Action Required”
      ส่วนใหญ่เป็น อีเมลฟิชชิง เลยไม่เปิดแม้แต่อีเมล Microsoft ของจริง
    • ครั้งหนึ่งฉันงงกับอีเมลแบบนั้นมากจนเปิดซัพพอร์ตทิคเก็ต แต่แม้แต่พนักงาน Microsoft เองก็ยังไม่รู้ว่าเกี่ยวกับรีซอร์สไหน
    • ในการอบรมความตระหนักด้านความปลอดภัย เขาสอนว่าอีเมลที่หัวเรื่องเป็น “Action required” คือฟิชชิง

  • Microsoft บอกว่า “จะใช้เหตุการณ์นี้เป็นโอกาสในการทบทวนเพื่อ ปรับปรุงการสื่อสาร
    ฟังดูเหมือน Vogon ที่ระเบิดโลกไปแล้วค่อยมาพูดว่า “ครั้งหน้าทำให้ดีกว่านี้กันเถอะ”

  • ในวงการเทค ความปลอดภัยมักเป็นแค่ 'การแสดง'
    เป้าหมายจริงคือใช้เป็นเครื่องมือผลักดันนโยบายที่ไม่น่าพอใจ เช่น การควบคุมการเข้าถึงหรือการละเมิดความเป็นส่วนตัว
    แม้แต่กระบวนการลงลายเซ็น สุดท้ายก็กลายเป็นว่าฝ่ายหนึ่งถืออำนาจทั้งหมดไว้ และอำนาจนั้นก็ถูกใช้อย่างผิดทางเสมอ

    • บางคนคิดว่าแทนที่จะป้องกันความล้มเหลว การโยนความรับผิดชอบให้ ประกันภัย จะดีกว่า
    • ความปลอดภัยส่วนใหญ่นั้นเละเทะก็จริง แต่ไม่ได้แปลว่าความปลอดภัยไม่จำเป็น
      เพียงแต่ การรวมศูนย์อำนาจของ Big Tech เป็นปัญหาที่ร้ายแรงมาก
    • ถ้ายอมสละหลักการเพื่อการประนีประนอมในทางปฏิบัติ สุดท้ายก็จะเสียทั้งสองอย่าง

  • การตัดสินใจครั้งนี้ของ Microsoft เหลือเชื่อเกินไป
    ในช่วงที่ฐานแฟน Windows กำลังลดลง การทำแบบนี้ก็เหมือน ยิงเท้าตัวเอง
    แต่อีกด้านหนึ่ง เหตุการณ์แบบนี้อาจเป็นโอกาสให้ตระหนักถึงความเสี่ยงของการรวมศูนย์ได้

    • วันนี้ฉันพยายามล็อกอิน Teams อยู่ 20 นาที แต่ก็ล้มเหลวเพราะติด ลูปยืนยันตัวตนไม่รู้จบ
      บอกว่าเป็นยุคแห่งระบบอัตโนมัติ AI แต่แค่ล็อกอินยังทำให้ใช้งานไม่ได้
    • ความนิยมชมชอบ ที่ Satya Nadella สร้างไว้ระหว่างปี 2014~2022 หายไปหมดแล้ว
      ตอนนี้มันกลายเป็นบริษัทที่มองแต่ Azure กับ AI เท่านั้น

  • บทความที่เกี่ยวข้อง: กรณีบัญชีนักพัฒนา WireGuard VPN ถูกระงับของ TechCrunch
    มีการพูดคุยกันใน กระทู้ HN ด้วย

    • ตามแหล่งข้อมูลที่ดีกว่า ไม่ใช่แค่การยืนยันอีเมลธรรมดา แต่ต้อง อัปโหลดบัตรประจำตัวที่ออกโดยหน่วยงานรัฐ ด้วย
      แต่กลับมีนักพัฒนาบางคนที่ ไม่ได้รับการแจ้งขั้นตอนนี้เลยแม้แต่น้อย

  • บทความของ The Register เผยแพร่จุดยืนอย่างเป็นทางการของ Microsoft แล้ว

    • ฉันเคยทำงานในฐานะ Microsoft Partner มาก่อน และถ้าจะคงสถานะพาร์ตเนอร์ไว้ จำเป็นต้องมี ใบรับรองนักพัฒนาที่ได้รับการรับรอง
      หลังจากยกเลิกใบรับรองนั้นไป ก็ดูเหมือนว่าพาร์ตเนอร์ที่ไม่มีนักพัฒนาที่ผ่านการรับรองจะถูกกวาดล้างพร้อมกันทีเดียว

  • “Microslop” กำลัง ทำลายแบรนด์ตัวเอง อีกครั้ง
    ตอนนี้ผู้คนอาจย้ายไปใช้ MacOS หรือ Linux ก็ได้

    • ฉันรัน Forgejo มาเกิน 1 ปีแล้ว มันเร็วและฟีเจอร์หลักก็ใช้ฟรี
      ใช้ได้ดีแม้บน Raspberry Pi 4 (RAM 1GB)
      แค่ตั้งค่า HTTPS ด้วย Docker Compose กับ Caddy และแบ็กอัปด้วย cron + git pull ก็เพียงพอแล้ว
      ยังรันเทสต์ Rust หรือ Python ได้แบบไม่มีปัญหา
    • แต่ Apple ก็ทำเรื่องคล้ายกันใน App Store
      โครงสร้าง แอปสโตร์แบบผูกขาด ต่างหากที่เป็นรากของปัญหา
    • คนส่วนใหญ่ก็แค่ใช้คอมพิวเตอร์ที่บริษัทให้มา
      คนที่อยากเปลี่ยน OS จริง ๆ มีไม่มากนัก
    • อุปกรณ์ Apple ก็แพง และ แล็ปท็อป Linux ก็ยังหาดูตามร้านได้ยาก
      เพราะงั้นการย้ายกันในวงกว้างจึงเป็นเรื่องยาก
    • ฉันใช้พีซี Windows 11 ของที่ทำงาน แล้วรู้สึก ช้ามากจนน่าตกใจ
      ช้ากว่า Q6600 + Windows XP จากปี 2007 เสียอีก

  • บน Linux กับ Mac ของฉัน WireGuard ทำงานได้ดี
    ดูเหมือน Microsoft จะไม่รู้ว่าการ บล็อกซอฟต์แวร์สำคัญ แบบนี้สร้างความเสียหายให้ตัวเองมากกว่า

    • ทุกวันนี้บริษัทใหญ่ ๆ ไม่มีใครตรวจทานอย่างจริงจังแล้ว
      บอตอัตโนมัติ เป็นตัวบล็อกบัญชี และพอพยายามจะปลดบล็อกก็เจอแต่กำแพง

  • ตามคำพูดของ Scott Hanselman รองประธาน Microsoft
    การระงับครั้งนี้เป็นการบล็อกอัตโนมัติของ “พาร์ตเนอร์ที่ยังไม่ยืนยันบัญชีให้เสร็จหลังเดือนเมษายน 2024”
    แต่ในความเป็นจริง มันใกล้เคียงกับ การปิดบัญชี (termination) มากกว่า การระงับ (suspension)