Microsoft, önemli açık kaynak proje geliştirici hesaplarını askıya aldı

 (bleepingcomputer.com)
2 puan yazan GN⁺ 18 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Microsoft, WireGuard, VeraCrypt, MemTest86, Windscribe VPN gibi önemli açık kaynak projelerinin geliştirici hesaplarını önceden bildirim yapmadan askıya aldı; Windows için derleme ve güvenlik yaması dağıtımı durdu
  • Askıya alınan hesaplar Windows Hardware Program iş ortağı hesaplarıydı ve kurtarma süreci ya da hızlı yeniden etkinleştirme imkanı sunulmadı
  • VeraCrypt ve WireGuard geliştiricileri, herhangi bir uyarı veya e-posta olmadan hesaplarının kapatıldığını ve destek ekibiyle iletişimin otomatik yanıtlarla sınırlı kaldığını söyledi
  • Microsoft, bunun zorunlu hesap doğrulama sürecinin tamamlanmaması nedeniyle gerçekleşen otomatik bir askıya alma olduğunu açıkladı; ardından bazı hesapların geri yüklenmesine destek verdi ve iletişimi iyileştirme sözü verdi
  • Toplulukta, itiraz sürecinin verimsizliği ve geliştirici desteğinin yetersizliği eleştirilirken, kritik açık kaynak projelerinin etkilenmiş olması endişe yarattı

Microsoft'un açık kaynak geliştirici hesaplarını askıya alması tartışma yarattı

  • Microsoft, önemli açık kaynak projelerinin geliştirici hesaplarını önceden bildirim yapmadan askıya aldı; bunun sonucunda Windows için yeni derlemelerin ve güvenlik yamalarının dağıtımı durdu
    • Askıya alınan hesaplar Windows Hardware Program iş ortağı hesaplarıydı ve kurtarma süreci ya da hızlı yeniden etkinleştirme imkanı sunulmadı
  • Etkilenen projeler arasında WireGuard, VeraCrypt, MemTest86 ve Windscribe VPN yer alıyor
    • Bu projeler, Windows sürücü imzalama ve önyükleyici imzalama için Microsoft hesaplarını kullanıyordu
  • VeraCrypt geliştiricisi Mounir Idrassi, yıllardır kullandığı hesabının hiçbir ön uyarı olmadan kapatıldığını ve e-posta ya da uyarı almadan sadece bilgilendirildiğini, ayrıca itiraz da edemediğini söyledi
    • Microsoft destek ekibiyle çeşitli kanallardan iletişime geçmeye çalıştığını ancak yalnızca otomatik yanıtlar ve botlardan dönüş aldığını, gerçek bir yetkiliye ulaşamadığını anlattı
    • Linux ve macOS için güncellemelerin yapılabildiğini, ancak kullanıcıların büyük çoğunluğu Windows kullandığı için bunun ciddi bir darbe olduğunu belirtti
  • WireGuard bakımcısı Jason A. Donenfeld de, “Herhangi bir uyarı ya da bildirim olmadan giriş yaptığım anda hesabım askıya alındı” diyerek, 60 günlük itiraz sürecini yürüttüğünü söyledi
    • “Eğer WireGuard'da ciddi bir uzaktan kod çalıştırma (RCE) açığı ortaya çıksaydı, anında yama dağıtmak mümkün olmayacaktı” diyerek riskin altını çizdi
    • Windscribe ve MemTest86 geliştirme ekipleri de haftalar boyunca Microsoft destek ekibiyle iletişim kuramadıklarını bildirdi

Microsoft'un açıklaması ve sonraki adımlar

  • TechCrunch haberi sonrasında, Microsoft başkan yardımcısı Scott Hanselman, söz konusu hesapların Windows Hardware Program'ın zorunlu hesap doğrulama sürecinin tamamlanmaması nedeniyle otomatik olarak askıya alındığını açıkladı
    • Bu doğrulama sürecinin, 2024 Nisan'dan sonra bunu tamamlamamış iş ortaklarını kapsadığını ve 2025 Ekim'den itibaren e-postayla duyurulduğunu söyledi
    • 1 Ekim 2024 tarihli Hardware Dev Center duyurusuna göre, 30 gün içinde doğrulama tamamlanmazsa otomatik askıya alma uygulanıyor
  • Microsoft, 30 Mart 2026 tarihli bir güncellemede, “Doğrulamayı tamamlayamayan hesaplar Windows Hardware Program'dan askıya alınır ve artık gönderim yapamaz” ifadesine yer verdi
    • BleepingComputer, Microsoft sözcüsüne ek sorular yöneltti ancak henüz yanıt alamadı
  • Daha sonra Hanselman doğrudan VeraCrypt geliştiricisi Idrassi ile iletişime geçerek hesabın geri yüklenmesine destek verdi; Idrassi, “Basındaki haberler ve sosyal medyadaki yayılım Microsoft'un harekete geçmesini sağladı” dedi
    • Microsoft Windows and Devices biriminin EVP'si Pavan Davuluri, “İş ortaklarının bu süreçten haberdar olması için e-posta, banner ve hatırlatmalar kullandık, ancak bazıları bunu kaçırdı” diyerek, iletişim yöntemlerini iyileştireceklerini söyledi

Topluluk tepkisi

  • Bazı kullanıcılar, “Microsoft ürünlerinde yer alan yazılımları geliştirseniz bile, bir sorun çıktığında doğrudan bir insanla konuşamamak korkutucu” yorumunu yaptı
  • Başka görüşlerde ise “İtiraz süreci aşırı karmaşık ve verimsiz; WireGuard gibi kritik bir projenin etkilenmesi sorunlu” eleştirisi öne çıktı
  • Bazıları da “Scott Hanselman yine de güvenilebilecek biri” diyerek olumlu görüş bildirdi

İlgili okumalar

1 yorum

 
GN⁺ 18 일 전
Hacker News görüşleri

  • Dün tartışılan Microsoft'un VeraCrypt hesabını kapatıp Windows güncellemelerinin durmasına yol açtığı olay hakkında konuşuluyor
    Geliştiricilerin görüşleri ve Microsoft'un sonraki güncellemesini içeren önceki başlığa da bakmaya değer

  • Microsoft, başlığında “Action required” yazan e-postaları fazla sık gönderiyor
    Gerçekte çoğu zaman hiçbir işlem gerekmiyor ya da benimle ilgisi olmuyor
    Bu e-postaları aratınca, sonunda hiçbir şey yapmanın gerekmediği bir sürü örnek çıkıyor

    • Bu şekilde sürekli 'yalancı çoban' gibi uyarı savurunca, gerçekten önemli mesajlar da görmezden geliniyor
    • Eskiden Microsoft'un startup programına katılmıştım; Azure ücretleri çok pahalıydı ve arayüz de berbattı
      Servisler kendiliğinden açılıyor ve faturalar gelene kadar onları bulmak bile mümkün olmuyordu
      Programı bırakalı 2 yıl olmuş olmasına rağmen hâlâ “Action required” e-postaları geliyor
      GitHub Desktop da benzer şekilde — macOS'ta otomatik güncellemeleri kapatamıyorsun ve her gün yönetici izni istiyor
      Bu tür kullanıcı tacizi bence yasayla engellenmeli
    • Spam kutum “Action Required” e-postalarıyla dolu
      Çoğu phishing e-postası, bu yüzden gerçek Microsoft postalarını bile açmıyorum
    • Bir keresinde böyle bir e-posta o kadar anlamsızdı ki destek bileti açtım, ama Microsoft çalışanı bile bunun hangi kaynakla ilgili olduğunu bilmiyordu
    • Güvenlik farkındalığı eğitimlerinde, başlığı “Action required” olan e-postaların phishing olduğu öğretiliyor

  • Microsoft bu olaydan sonra iletişimini iyileştirmeyi değerlendireceğini söyledi,
    ama bu biraz Vogon'ların Dünya'yı havaya uçurduktan sonra “bir dahaki sefere daha iyi yapalım” demesine benziyor

  • Teknoloji sektöründe güvenlik çoğu zaman sadece bir 'gösteri'
    Asıl amaç genelde erişim kontrolü veya mahremiyet ihlali gibi rahatsız edici politikaları dayatmak için bir araç sağlamak
    İmza süreçleri de sonunda tüm yetkinin tek tarafta toplanmasına yol açıyor ve bu yetki her zaman suistimal ediliyor

    • Bazı insanlar, başarısızlığı önlemek yerine sorumluluğu sigortayla üstünden atmanın daha iyi olduğunu düşünüyor
    • Güvenliğin çoğu berbat durumda, ama bu güvenliğin gereksiz olduğu anlamına gelmiyor
      Sorun daha çok Big Tech'in güç yoğunlaşması
    • Pratik uzlaşmalar uğruna ilkeleri feda edersen, sonunda ikisini de kaybedersin

  • Microsoft'un bu kararı inanılmaz derecede saçma
    Windows'un hayran kitlesi azalırken böyle davranması kendi ayağına sıkmak gibi
    Ama bu tür olaylar, merkeziyetçiliğin risklerini fark etmeye de vesile olabilir

    • Bugün sadece Teams'e giriş yapmayı 20 dakika denedim ve sonsuz kimlik doğrulama döngüsüne girip başarısız oldum
      Sözde yapay zeka otomasyonu çağındayız ama tek bir giriş işlemi bile düzgün çalışmıyor
    • Satya Nadella'nın 2014~2022 arasında biriktirdiği olumlu imaj tamamen yok oldu
      Şirket artık sadece Azure ve yapay zekaya bakan bir hale geldi

  • İlgili haber: TechCrunch'ın WireGuard VPN geliştiricisinin hesabının askıya alınması olayı
    HN başlığında da tartışıldı

    • Daha iyi bir kaynağa göre bu sadece basit bir e-posta doğrulaması değildi; devlet tarafından verilmiş kimlik belgesi yüklemek gerekiyordu
      Ama bazı geliştiricilere bu süreç hakkında hiçbir bildirim gitmemiş

  • The Register haberinde Microsoft'un resmi açıklaması yer aldı

    • Eskiden Microsoft Partner olarak çalışıyordum; partner statüsünü korumak için resmî geliştirici sertifikası gerekiyordu
      Bu sertifika kaldırılınca, doğrulanmış geliştiricisi olmayan partnerler topluca temizlenmiş gibi görünüyor

  • “Microslop” bir kez daha kendi markasını mahvediyor
    Artık insanlar macOS'a ya da Linux'a geçebilir

    • Ben 1 yıldan uzun süredir Forgejo çalıştırıyorum; hızlı ve temel özellikleri ücretsiz
      Raspberry Pi 4'te (1GB RAM) bile gayet iyi çalışıyor
      Docker Compose ve Caddy ile HTTPS kurup, cron + git pull ile yedek almak yeterli
      Rust veya Python testleri de sorunsuz çalıştırılabiliyor
    • Ama Apple da App Store'da benzer şeyler yapıyor
      Sorunun kökü tekelci uygulama mağazası yapısı
    • İnsanların çoğu iş yerinin verdiği bilgisayarı kullanıyor
      Gerçekte işletim sistemini değiştirmeye çalışan çok fazla kişi yok
    • Apple cihazları pahalı ve Linux dizüstü bilgisayarlar hâlâ mağazalarda zor bulunuyor
      Bu yüzden kitlesel bir geçiş zor
    • İş için Windows 11 PC kullanıyorum ve yavaşlığı şok edici
      2007 model Q6600 + Windows XP'den bile daha yavaş

  • Benim Linux ve Mac sistemlerimde WireGuard sorunsuz çalışıyor
    Microsoft, böyle kritik yazılımları engellemenin aslında kendisine daha çok zarar verdiğinin farkında değil gibi görünüyor

    • Artık büyük şirketlerde kimse doğru düzgün inceleme yapmıyor
      Otomatik botlar hesapları kapatıyor ve kaldırmaya çalışınca da duvara tosluyorsun

  • Microsoft başkan yardımcısı Scott Hanselman'a göre,
    bu askıya alma işlemi “2024 Nisan'dan sonra hesap doğrulamasını tamamlamayan partnerleri” otomatik olarak engellemek için yapılmış
    Ama gerçekte bu bir askıya alma (suspension) değil, daha çok hesap feshi (termination) gibi