Jason Donenfeld, criador do software de VPN de código aberto WireGuard, está impedido de enviar atualizações críticas para usuários do Windows após ter sua conta de desenvolvedor da Microsoft suspensa. O problema, que afeta um projeto de segurança amplamente utilizado globalmente, ocorre no segundo caso recente de um projeto de código aberto de alto perfil sendo bloqueado pela gigante de tecnologia sem aviso prévio.
Donenfeld relatou ao site TechCrunch que, ao tentar enviar uma atualização modernizada do código do WireGuard para o Windows, encontrou um erro de "acesso restrito" ao entrar na parte de desenvolvedor de sua conta Microsoft. A suspensão impede que ele assine digitalmente os drivers do software, uma etapa obrigatória para que as atualizações sejam distribuídas e executadas corretamente nos sistemas Windows.
Risco de segurança e paralelo com outro caso
Em comunicado por email ao TechCrunch, Donenfeld expressou preocupação com um cenário hipotético de vulnerabilidade crítica. "Se houvesse uma vulnerabilidade crítica para corrigir agora — não há! Quero dizer, hipoteticamente — então os usuários estariam totalmente expostos", afirmou o desenvolvedor. O WireGuard é a base de implementações de VPN e serviços comerciais como Proton e Tailscale, sendo reconhecido por sua simplicidade e segurança.
A situação se assemelha ao caso recente do software de criptografia VeraCrypt, cujo desenvolvedor, Mounir Idrassi, também foi bloqueado de sua conta Microsoft. Idrassi alertou que, sem acesso, não poderá atualizar o software antes da expiração de um certificado crucial, o que pode impedir alguns usuários de inicializar seus sistemas.
Processo de verificação e falta de comunicação
O bloqueio está relacionado a um programa de verificação de contas obrigatório da Microsoft para parceiros do "Windows Hardware Program" que não completaram a verificação desde abril de 2024. O programa, que já foi encerrado, exigia que desenvolvedores enviassem documentos de identidade emitidos pelo governo para continuar publicando drivers, que são softwares sensíveis com amplo acesso ao sistema operacional.
Donenfeld afirmou que, apesar de ter passado pelo processo de verificação de identidade com um terceiro contratado pela Microsoft — que o considerou "verificado" —, seu acesso permaneceu suspenso. "A Microsoft nunca me enviou nenhuma notificação sobre isso. Procurei em todas as caixas de entrada, em todas as pastas de spam, em todos os logs de e-mail, e zero, nada, nenhuma", disse ele ao TechCrunch.
Tentativas de resolução e outros afetados
O desenvolvedor foi encaminhado para a equipe de suporte executivo da Microsoft, que lida com solicitações de alto perfil. A equipe confirmou o recebimento de seu recurso, mas informou que a análise pode levar até 60 dias. No final da quarta-feira, houve um sinal de esperança: Donenfeld informou que finalmente estava em contato com a Microsoft e que esperava uma resolução em breve. A Microsoft não comentou imediatamente quando procurada pela reportagem.
A Windscribe, fabricante de ferramentas de VPN e privacidade, também relatou em uma publicação no X (antigo Twitter) ter sido bloqueada de sua conta no "Partner Center" da Microsoft, que mantinha verificada há mais de oito anos. A empresa afirmou tentar resolver o problema há mais de um mês sem sucesso, criticando a falta de suporte.
Contexto e próximos passos
O "Windows Hardware Program" da Microsoft é a plataforma que permite a desenvolvedores criar e lançar drivers de dispositivo para o sistema Windows. A restrição a desenvolvedores conhecidos e verificados é uma medida de segurança, já que drivers maliciosos podem conceder acesso profundo a um sistema. A verificação de identidade foi implementada como uma barreira adicional contra abusos.
Enquanto aguarda a resolução do caso, Donenfeld e outros desenvolvedores afetados permanecem incapazes de distribuir atualizações de segurança ou desempenho para seus softwares, deixando uma parcela dos usuários do Windows potencialmente vulnerável a falhas futuras que possam ser descobertas. A dependência de plataformas centralizadas para a distribuição de software de código aberto levanta questões sobre a resiliência de projetos críticos de infraestrutura digital.