微軟封鎖VeraCrypt和WireGuard開發者賬號，稱因賬號驗證流程所致

微軟表示將改進與開發者的溝通方式，此前兩位知名開源項目負責人突然遭遇賬號封鎖，導致他們無法為軟件更新進行簽名。

VeraCrypt的開發者Mounir Idrassi和WireGuard的開發者Jason Donenfeld近期相繼反映，微軟在未作任何解釋的情況下封鎖了他們的開發者賬號。

Idrassi于3月30日公開了自己的遭遇，他表示："微軟既沒有發送任何電子郵件，也沒有提前發出警告。我沒有收到任何關于賬號被終止的說明，且官方消息顯示此決定不可申訴。我嘗試通過多種渠道聯系微軟，但只收到了自動回復和機器人的回應，始終無法接觸到真人客服。"

本周他在接受媒體采訪時表示，目前仍未收到微軟的任何回音。

此次封鎖涉及與IDRIX公司關聯的開發者賬號，該公司是VeraCrypt背后的運營主體，同時還負責多個其他項目。

Idrassi表示："我現在無法通過硬件儀表盤為VeraCrypt的驅動程序或啟動加載器進行簽名，這也導致我無法為其他項目的客戶簽署驅動程序和相關組件，影響范圍已超出VeraCrypt本身。"

Donenfeld的遭遇與此如出一轍，他同樣聲稱微軟從未告知其賬號被封禁的原因。他在Hacker News上寫道："完全沒有任何警告或通知。某天我登錄準備發布更新，結果發現賬號已被暫停，令我大為震驚。"

他還對此表示了網絡安全方面的擔憂：一旦WireGuard團隊發現影響該VPN的漏洞，他將無法對更新進行簽名以完成修復。他寫道："如果真有人想搞破壞，現在可能是利用WireGuard零日漏洞的好時機。當然，WireGuard可能根本不存在零日漏洞——但萬一有呢？"

Donenfeld向媒體透露，他的麻煩大約始于兩周前。當時他已歷經數周，完成了對WireGuard用戶應用及其內核驅動的一系列改進，其中包括重構內核驅動基礎架構，以通過Windows硬件實驗室套件（WHLK）測試，他將這個項目描述為"有趣但極為繁瑣"。

他說："WHLK軟件包準備就緒后，我購買了一張價格不菲的EV代碼簽名證書——微軟的這項要求本身就讓人頗有微詞——隨后我登錄合作伙伴門戶，準備提交已簽名的WHLK軟件包和驅動程序，供微軟自動審查，通常該流程會生成加載內核驅動所需的微軟簽名。"

然而，他卻收到了一條提示，告知其賬號已被停用。

"微軟從未向我發送過任何通知，"Donenfeld補充道，"我檢查了所有收件箱、所有垃圾郵件文件夾和所有郵件日志，一無所獲。"

賬號申訴流程將他引導至一個AI支持工單工具，但由于賬號已被停用，他無法在系統中選擇與申訴相關的工作區，從而陷入了一個"第22條軍規"式的僵局：他需要提交申訴才能恢復賬號，但提交申訴又需要一個有效賬號。

最終他找到的變通方法是，通過Azure團隊提交一個與此無關的申訴，再由其轉交至正確的處理團隊。

Donenfeld通過郵件表示："本周，在我不斷聯系在微軟工作的朋友、并向相關博文作者發送郵件之后，終于陸續得到了一些消息。他們收到了申訴，處理周期為60天。無論施加多大壓力、無論有多少人為我擔保，都無法加快進度——哪怕微軟自己也在使用WireGuard。就是60天，沒有例外。"

"順帶一提，他們并未說明申訴所需提交的材料，所以我只能憑感覺猜測。60天后，他們完全可能直接駁回，那我就真的沒有出路了。"

他認為這與微軟自身的商業利益相悖，因此向微軟商業行為準則部門發送了郵件，但對方認為此事優先級不足，將他轉交給了高級支持團隊。該團隊昨天告知他，申訴確實已送達相關負責人（此前他毫不知情），但無法加快處理進度，也沒有任何關于處理時間和方式的說明，整個過程完全不透明。

微軟的回應

微軟Windows與設備事業部總裁Pavan Davuluri表示，Idrassi和Donenfeld的賬號將"很快"得到恢復。

他在社交媒體上發文稱："我們已注意到相關報道，正在積極盡快解決此問題。我們已聯系VeraCrypt，也已與WireGuard的Jason進行了溝通，他們的賬號很快就會恢復正常。"

他解釋稱，兩起賬號停用均為Windows硬件計劃賬號驗證流程的一部分。微軟曾于去年10月發布博文，提前兩周通知開發者：如其賬號自2024年4月起未完成驗證，將收到強制驗證通知。

Davuluri表示："我們努力通過電子郵件、橫幅提示和提醒通知等多種方式，確保合作伙伴了解這一變化。但我們也清楚，有時仍會有人錯過這些信息。我們將以此為契機，審視并改進此類變更的溝通方式。"

對于其他遇到類似問題的開發者，Davuluri將他們引導至一個支持頁面，并表示可以借助Copilot尋求幫助，按頁面所列步驟進行操作。

自Davuluri發文后，Donenfeld已向媒體確認其賬號已恢復，并于周四上午成功發布了內核驅動更新。

Q&A

Q1：微軟為什么會封鎖VeraCrypt和WireGuard開發者的賬號？

A：根據微軟Windows與設備事業部總裁Pavan Davuluri的說明，兩起賬號停用均屬于Windows硬件計劃賬號驗證流程的一部分。微軟曾于2024年10月發布博文，提前兩周通知開發者完成賬號驗證，如未驗證將觸發強制驗證通知。但兩位開發者均表示，從未收到任何預警郵件或通知，事件發生時完全不知情。

Q2：賬號被封鎖之后對WireGuard的安全有沒有影響？

A：存在潛在安全風險。開發者Donenfeld指出，一旦發現WireGuard存在漏洞，由于無法對驅動更新進行簽名，修復補丁將無法正常發布。他提到，賬號被封期間，若有惡意行為者趁機利用WireGuard的零日漏洞，后果將難以預料。不過他也補充說，WireGuard目前并未發現已知零日漏洞。

Q3：微軟的申訴流程有什么問題？

A：申訴流程存在明顯缺陷。Donenfeld遭遇了"第22條軍規"式的困境：申訴需要有效賬號，但賬號已被停用，導致流程無法正常啟動。他最終通過Azure團隊迂回提交了申訴，但被告知處理周期長達60天，且不得以任何理由加快進度，也未獲知所需提交的具體材料，整個流程高度不透明。