Microsoft ने प्रमुख open source प्रोजेक्ट्स के डेवलपर अकाउंट सस्पेंड किए

 (bleepingcomputer.com)
2 पॉइंट द्वारा GN⁺ 20 일 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Microsoft ने WireGuard, VeraCrypt, MemTest86, Windscribe VPN जैसे प्रमुख open source प्रोजेक्ट्स के डेवलपर अकाउंट बिना पूर्व सूचना के सस्पेंड कर दिए, जिससे Windows के लिए builds और security patches का वितरण रुक गया
  • सस्पेंड किए गए अकाउंट Windows Hardware Program partner accounts थे, और इनके लिए recovery process या तेज़ reactivation का कोई साधन उपलब्ध नहीं कराया गया
  • VeraCrypt और WireGuard के डेवलपर्स ने कहा कि उनके अकाउंट बिना किसी warning या email के ब्लॉक कर दिए गए, और support team से संपर्क केवल automated replies तक सीमित रहा
  • Microsoft ने स्पष्ट किया कि यह ज़रूरी account verification process पूरी न होने के कारण हुआ automatic suspension था, और बाद में कुछ अकाउंट की बहाली में मदद तथा communication सुधारने का वादा किया
  • कम्युनिटी ने appeal process की अक्षमता और डेवलपर support की कमी की आलोचना की, और इस बात पर चिंता जताई कि इससे अहम open source प्रोजेक्ट्स प्रभावित हुए

Microsoft के open source डेवलपर अकाउंट सस्पेंशन पर विवाद

  • Microsoft ने प्रमुख open source प्रोजेक्ट्स के डेवलपर अकाउंट बिना पूर्व सूचना के सस्पेंड कर दिए, जिसके कारण Windows के लिए नए builds और security patches का वितरण रुक गया
    • सस्पेंड किए गए अकाउंट Windows Hardware Program partner accounts थे, और इनके लिए recovery process या तेज़ reactivation का कोई साधन उपलब्ध नहीं था
  • प्रभावित प्रोजेक्ट्स में WireGuard, VeraCrypt, MemTest86, Windscribe VPN आदि शामिल हैं
    • ये प्रोजेक्ट्स Windows driver signing और bootloader signing के लिए Microsoft अकाउंट का इस्तेमाल करते रहे हैं
  • VeraCrypt डेवलपर Mounir Idrassi ने कहा कि कई वर्षों से इस्तेमाल किया जा रहा उनका अकाउंट बिना किसी पूर्व सूचना के बंद कर दिया गया, और न तो email या warning दी गई, न ही appeal संभव थी
    • उन्होंने बताया कि Microsoft support team से कई माध्यमों से संपर्क करने की कोशिश की, लेकिन सिर्फ automated responses और bots से जवाब मिला, किसी वास्तविक ज़िम्मेदार व्यक्ति से संपर्क नहीं हो सका
    • उन्होंने कहा कि Linux और macOS के लिए updates संभव हैं, लेकिन ज़्यादातर यूज़र Windows इस्तेमाल करते हैं, इसलिए यह बड़ा झटका है
  • WireGuard maintainer Jason A. Donenfeld ने भी कहा, “warning या notification के बिना, login करते ही अकाउंट सस्पेंड मिला,” और बताया कि वे 60-दिन की appeal process से गुजर रहे हैं
    • उन्होंने जोखिम की ओर इशारा करते हुए कहा, “अगर WireGuard में कोई गंभीर remote code execution (RCE) vulnerability आ जाती, तो तुरंत patch वितरित करना संभव नहीं होता”
    • Windscribe और MemTest86 डेवलपमेंट टीमों ने भी बताया कि कई हफ्तों तक Microsoft support team से संपर्क नहीं हो पाया

Microsoft की सफाई और आगे की कार्रवाई

  • TechCrunch की रिपोर्ट के बाद, Microsoft के vice president Scott Hanselman ने बताया कि संबंधित अकाउंट Windows Hardware Program की अनिवार्य account verification process पूरी न होने के कारण अपने-आप सस्पेंड हो गए थे
    • उनके अनुसार, यह verification process उन partners पर लागू थी जिन्होंने अप्रैल 2024 के बाद इसे पूरा नहीं किया था, और अक्टूबर 2025 से इसकी सूचना email के जरिए दी गई थी
    • 1 अक्टूबर 2024 को पोस्ट की गई Hardware Dev Center notice के अनुसार, 30 दिनों के भीतर verification पूरा न होने पर automatic suspension किया जाता है
  • Microsoft ने 30 मार्च 2026 के update में स्पष्ट किया कि “जो अकाउंट verification पूरा नहीं कर पाएंगे, उन्हें Windows Hardware Program से सस्पेंड कर दिया जाएगा और आगे submissions की अनुमति नहीं होगी”
    • BleepingComputer ने Microsoft spokesperson को अतिरिक्त सवाल भेजे, लेकिन अभी तक कोई जवाब नहीं मिला है
  • इसके बाद Hanselman ने सीधे VeraCrypt डेवलपर Idrassi से संपर्क कर अकाउंट बहाल कराने में मदद की, और Idrassi ने कहा कि “मीडिया रिपोर्टिंग और सोशल मीडिया पर मुद्दा फैलने के बाद ही Microsoft की प्रतिक्रिया आई
    • Microsoft Windows and Devices division के EVP Pavan Davuluri ने कहा, “partners को इस process की जानकारी देने के लिए हमने email, banners और reminders का उपयोग किया, लेकिन कुछ लोग इसे चूक गए,” और communication के तरीके में सुधार करने का वादा किया

कम्युनिटी की प्रतिक्रिया

  • कुछ यूज़र्स ने कहा, “भले ही आप Microsoft products में शामिल software विकसित कर रहे हों, अगर समस्या आ जाए तो किसी इंसान से सीधे बात न कर पाना डरावना है
  • एक अन्य राय में कहा गया कि “appeal process बेहद जटिल और अक्षम है, और WireGuard जैसे अहम प्रोजेक्ट का प्रभावित होना चिंताजनक है”
  • कुछ लोगों ने यह भी कहा, “Scott Hanselman फिर भी भरोसेमंद व्यक्ति हैं,” और सकारात्मक प्रतिक्रिया दी

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 20 일 전
Hacker News की राय

  • कल चर्चा हुए Microsoft द्वारा VeraCrypt अकाउंट बंद किए जाने से Windows अपडेट रुकने की घटना के बारे में बात हो रही है
    इसके साथ डेवलपर्स की राय और Microsoft के फॉलो-अप अपडेट शामिल पिछला थ्रेड भी देखने लायक है

  • Microsoft बहुत ज़्यादा बार ऐसे ईमेल भेजता है जिनके subject में “Action required” लगा होता है
    जबकि असल में अक्सर कोई action लेना ही नहीं होता, या उसका मुझसे कोई लेना-देना नहीं होता
    ऐसे ईमेल खोजकर देखो तो ढेरों मामले मिलते हैं जहाँ आखिर में कुछ भी करने की ज़रूरत नहीं पड़ी

    • इस तरह ‘भेड़िया आया’ जैसी लगातार चेतावनियाँ देने से सच में महत्वपूर्ण संदेश भी नज़रअंदाज़ होने लगते हैं
    • मैं पहले Microsoft के startup program में शामिल था, लेकिन Azure billing बहुत महंगी थी और interface भी बेतरतीब था
      services अपने-आप चालू हो जाती थीं, और बाद में bill आने तक उन्हें ढूँढना भी मुश्किल होता था
      program छोड़े 2 साल हो चुके हैं, फिर भी अब तक “Action required” मेल आते हैं
      GitHub Desktop भी ऐसा ही है — macOS पर auto-update बंद नहीं किया जा सकता, और हर दिन admin permission माँगता है
      मुझे लगता है कि इस तरह का user harassment क़ानून से रोका जाना चाहिए
    • मेरा spam folder “Action Required” मेल से भरा पड़ा है
      उनमें से ज़्यादातर phishing mail होते हैं, इसलिए असली Microsoft मेल भी मैं नहीं खोलता
    • एक बार ऐसा मेल इतना समझ से बाहर था कि मैंने support ticket खोला, लेकिन Microsoft कर्मचारी को भी नहीं पता था कि वह किस resource से जुड़ा है
    • security awareness training में हमने सीखा था कि “Action required” subject वाले मेल phishing होते हैं

  • Microsoft ने कहा कि “इस घटना को आधार बनाकर communication सुधारने” पर विचार करेगा,
    यह वैसा लगता है जैसे Vogon ने पृथ्वी उड़ा देने के बाद कहा हो, “अगली बार बेहतर करेंगे”

  • tech industry में security अक्सर सिर्फ़ ‘दिखावा’ होती है
    असली मकसद अक्सर access control या privacy invasion जैसी असुविधाजनक नीतियाँ थोपने का एक साधन होता है
    signing process भी आखिर में एक पक्ष के हाथ में पूरा अधिकार दे देती है, और उस अधिकार का दुरुपयोग हमेशा होता है

    • कुछ लोगों का मानना है कि failure रोकने की बजाय ज़िम्मेदारी insurance पर डाल देना बेहतर है
    • ज़्यादातर security व्यवस्था खराब है, लेकिन इसका मतलब यह नहीं कि security की ज़रूरत नहीं है
      बस Big Tech में शक्ति का केंद्रीकरण एक गंभीर समस्या है
    • अगर व्यावहारिक समझौते के लिए सिद्धांत कुर्बान कर दिए जाएँ, तो अंत में दोनों हाथ से निकल जाते हैं

  • Microsoft का यह फ़ैसला बेहद बेतुका है
    जिस समय Windows का fan base घट रहा है, ऐसे कदम अपने ही पैर पर कुल्हाड़ी मारने जैसे हैं
    लेकिन यह घटना लोगों को केंद्रीकरण के ख़तरे समझाने का मौका भी बन सकती है

    • आज सिर्फ़ Teams में login करने की 20 मिनट कोशिश की, लेकिन अनंत authentication loop में फँसकर असफल रहा
      AI automation का ज़माना बताकर भी एक login ठीक से नहीं हो पाता
    • Satya Nadella ने 2014~2022 के दौरान जो goodwill बनाई थी, वह पूरी तरह खत्म हो गई
      अब कंपनी बस Azure और AI पर ही नज़र लगाए बैठी है

  • संबंधित लेख: TechCrunch की WireGuard VPN डेवलपर अकाउंट निलंबन घटना
    इस पर HN थ्रेड में भी चर्चा हुई

    • बेहतर स्रोतों के अनुसार, यह सिर्फ़ email verification नहीं था बल्कि सरकार द्वारा जारी पहचान पत्र अपलोड करना ज़रूरी था
      लेकिन कुछ डेवलपर्स को इस प्रक्रिया के बारे में कोई सूचना ही नहीं मिली

  • The Register लेख में Microsoft का आधिकारिक रुख सामने आया

    • मैं पहले Microsoft Partner के रूप में काम कर चुका हूँ, और partner status बनाए रखने के लिए मान्यता-प्राप्त डेवलपर certification ज़रूरी था
      जब वह certification खत्म कर दी गई, तो लगता है कि verified developers के बिना partners को एक साथ साफ़ कर दिया गया

  • “Microslop” फिर से अपने ही brand को बर्बाद कर रहा है
    अब लोग शायद MacOS या Linux की ओर जा सकते हैं

    • मैं एक साल से ज़्यादा समय से Forgejo चला रहा हूँ, यह तेज़ है और core features मुफ़्त हैं
      Raspberry Pi 4(1GB RAM) पर भी बढ़िया चलता है
      Docker Compose और Caddy से HTTPS set up कर लो, और cron + git pull से backup काफ़ी है
      Rust या Python tests भी बिना दिक्कत चल जाते हैं
    • लेकिन Apple भी App Store में ऐसा ही करता है
      एकाधिकार वाले app store ढाँचे ही असली समस्या हैं
    • ज़्यादातर लोग बस वही computer इस्तेमाल करते हैं जो कंपनी देती है
      वास्तव में OS बदलने की सोचने वाले लोग बहुत कम हैं
    • Apple devices महंगे हैं, और Linux laptop अब भी दुकानों में मुश्किल से दिखते हैं
      इसलिए बड़े पैमाने पर बदलाव आसान नहीं है
    • मैं कंपनी का Windows 11 PC इस्तेमाल करता हूँ, और यह इतना धीमा है कि चौंकाने वाला है
      2007 के Q6600 + Windows XP से भी धीमा

  • मेरे Linux और Mac पर WireGuard ठीक काम करता है
    लगता है Microsoft को समझ नहीं कि ऐसे core software को ब्लॉक करना उसी के लिए ज़्यादा नुकसानदेह है

    • आजकल बड़ी कंपनियों में कोई ठीक से review नहीं करता
      automated bots अकाउंट ब्लॉक कर देते हैं, और unblock कराने जाओ तो बस दीवार से टकराना पड़ता है

  • Microsoft के उपाध्यक्ष Scott Hanselman के अनुसार,
    यह निलंबन “April 2024 के बाद account verification पूरा न करने वाले partners” को अपने-आप ब्लॉक करने का परिणाम था
    लेकिन हक़ीक़त में यह suspension से ज़्यादा account termination के क़रीब था