Ikinandado ng Microsoft ang account ng developer ng WireGuard, hinaharangan ang mga update ng Windows
Naantala ang update ng WireGuard dahil sa pagka-lockout ng Microsoft account
Ikinandado ng Microsoft ang developer account ng lumikha ng WireGuard na si Jason Donenfeld, na pumipigil sa kanya na magpadala ng mga software update sa mga user ng Windows at muling nagpapataas ng mga alalahanin tungkol sa kung paano makagagambala ang mga kontrol ng platform sa mga open-source project.
Sinabi ni Donenfeld sa TechCrunch na hindi niya ma-access ang bahagi ng developer ng kanyang Microsoft account matapos makita ang mensaheng “access restricted,” kahit na natapos na ang proseso ng pag-verify ng pagkakakilanlan ng Microsoft. Bilang resulta, hindi siya makapag-sign ng mga driver o makapag-push ng mga update para sa WireGuard sa Windows, isang hakbang na kinakailangan para gumana nang maayos ang software sa platform na iyon.
Ang WireGuard ay isang malawakang ginagamit na open-source VPN project na sumusuporta sa iba't ibang tool sa seguridad at komersyal na serbisyo, kabilang ang mga produkto mula sa Mullvad, Proton, at Tailscale. Sinabi ni Donenfeld na ginugol niya ang nakaraang ilang linggo sa paggawa ng makabago sa Windows code ng WireGuard at handa nang magsumite ng update para sa mga pagsusuri ng Microsoft nang siya ay ma-lock out.
Ang isyu ay hindi lamang isang abala. Sinabi ni Donenfeld na kung kailangan agad na ayusin ang isang kritikal na kahinaan, mananatiling nakalantad ang mga user habang hindi pa nalulutas ang problema sa account.
Ang insidente ay kahawig ng isang katulad na problema na kinaharap ng VeraCrypt, isa pang kilalang open-source security project, na ang developer ay na-lock out din sa isang Microsoft account nang walang babala. Sa kasong iyon, ang isyu sa access ay nagbanta sa kakayahan ng project na matugunan ang deadline ng certificate authority na maaaring makaapekto sa kakayahan ng ilang user na i-boot ang kanilang mga system.
Para sa WireGuard, ang tiyempo ay nagpapataas ng mas malawak na katanungan tungkol sa kahinaan ng access ng developer at ang mga panganib ng pag-asa sa mga sentralisadong sistema ng account upang ipamahagi ang mga update sa seguridad. Kapag ang isang solong pagka-lockout ng account ay maaaring makahadlang sa paghahatid ng patch para sa software na ginagamit sa buong mundo, ang mga kahihinatnan ay maaaring lumampas pa sa inbox ng isang developer.
Mga Pinagmulan:
Magbasa pa ng balita sa tech sa Doppler VPN Blog.