一个做了十年的开源加密软件,可能因为微软的一次“误操作”,要完蛋了。
就在上周,VeraCrypt项目维护者Mounir IDRASSI在项目论坛上发了一条帖子,字不多,但每个字都透着一股无力感:
他的Microsoft账户被终止了。
没有警告邮件。没有解释。没有申诉渠道。
就那么突然之间,他用来给Windows驱动和引导程序签名的证书,全部失效。
十年开源,一夜归零
VeraCrypt是什么?
简单说,它是开源世界里最硬核的磁盘加密工具。继承了当年TrueCrypt的衣钵,被全球数百万注重隐私的用户和机构视为“最后一道防线”。你用它加密硬盘,连FBI来了都头疼。
Mounir IDRASSI一个人维护了这个项目将近十年。
但就在几个月前,他发现自己登不进去了——Microsoft账户显示已终止。他尝试通过各种渠道联系微软,得到的只有自动回复和机器人。
“我试过各种渠道,只能收到自动回复。无法联系到真人。”
这意味着什么?
Windows版本的VeraCrypt,无法再发布任何更新。
Linux和macOS还能继续做,但Windows用户占了VeraCrypt的大多数。官方版本无法签名,意味着用户装不了、升不了,甚至可能触发安全警告。
一个做了十年的开源项目,因为一家科技巨头的“静默封号”,说卡死就卡死了。
社区炸锅:下一个会是谁?
帖子发出后,安全圈瞬间沸腾。
有人翻出更多案例:WireGuard维护者同样遇到了账户被停用的问题,同样没有任何警告。60天申诉期,期间要是出了安全漏洞需要紧急修复?不好意思,您找不着人。
“这太疯狂了。要是有严重漏洞被利用,我需要立即更新用户,但现在微软把我的手脚全捆住了。”
更多人开始担心:这是不是微软在“测试水温”?
“如果这次没引起足够关注,接下来他们可能会对更多开源项目下手——BT下载客户端、VPN软件、浏览器广告拦截插件……一个接一个。”
甚至有人翻出了陈年旧账:当年TrueCrypt开发者突然消失,推荐用户改用BitLocker,这事儿本来就透着诡异。现在又来?
“LibreOffice开发者被微软封过,现在轮到VeraCrypt。历史总是重复。”
事情可能有转机?
不过,也不是没有好消息。
rufus(一个流行的U盘启动工具)作者Pete Batard跳出来说:别慌,我也遇到过一模一样的情况。
他的问题出在域名验证上——他用的域名注册商是.ie后缀,微软的自动WHOIS验证失败了。联系上真人之后,微软支持人员帮他解决了问题。
“那个'没有申诉渠道'的提示其实只是模板话术,跟实际业务验证是两码事。找到人之后,微软那边还挺帮忙的。”
社区已经开始行动。有人建议直接给微软CEO Satya Nadella写邮件,有人建议联系媒体曝光(Ars Technica、Wired、EFF),还有人提议找国会议员——比如长期关注隐私的Tom Massie和Ron Wyden。
目前,已经有微软内部人士表示愿意帮忙对接。Rafael Rivera在论坛上留了邮箱,说可以把这事儿转给微软内部的“合适人选”。
写在最后
一个维护者、一个十年项目、数百万用户——全部悬在微软某条自动化判定规则的手里。
这事儿最让人脊背发凉的不是“被封”本身,而是你根本不知道为什么会这样。没有违规通知,没有解释,一个做了十年开源的大活人,在微软系统里跟不存在一样。
社区在帮忙,媒体在关注,微软内部也有人愿意介入。但能不能解决,什么时候解决,不知道。
VeraCrypt还能活多久,取决于微软什么时候愿意“赏”一个真人出来。
这大概就是开源世界最荒诞的真相:你以为自己在给全人类造盾牌,结果你的盾牌能不能继续存在,取决于一家商业公司算法的心情。
【锐评】:微软这套“自动封号+找不到真人”的机制,简直是把开源开发者的命脉捏在手里玩——哪天算法觉得你不对劲,连解释的机会都没有,十年功夫直接清零。
参考链接:
https://sourceforge.net/p/veracrypt/discussion/general/thread/9620d7a4b3/