Essere lo sviluppatore di uno degli strumenti VPN open source più utilizzati al mondo non basta a evitare di ritrovarsi bloccati fuori dal proprio account Microsoft senza spiegazioni. È quello che è successo a Jason Donenfeld, creatore di WireGuard, e a Mounir Idrassi, lo sviluppatore dietro VeraCrypt, due figure di primo piano nell’ecosistema open source che nelle scorse settimane hanno vissuto la stessa spiacevole esperienza: account sospesi, nessuna comunicazione preventiva e nessun canale umano a cui rivolgersi.

Idrassi ha reso pubblica la sua situazione il 30 marzo, descrivendo uno scenario kafkiano. Microsoft non gli aveva inviato email né avvisi preliminari e il messaggio di sospensione indicava esplicitamente che non era possibile fare appello. Ogni tentativo di contattare l’azienda si era concluso con risposte automatiche e bot, senza mai raggiungere un essere umano. Le conseguenze operative sono state concrete e immediate (Idrassi non poteva più firmare il driver né il bootloader di VeraCrypt), ma il blocco si estendeva anche ad altri progetti commerciali gestiti attraverso lo stesso account, paralizzando di fatto una parte significativa della sua attività professionale.

Il racconto di Donenfeld segue lo stesso copione. Lo sviluppatore aveva trascorso settimane a lavorare su miglioramenti sostanziali all’applicazione WireGuard e al suo driver kernel, inclusa la ricostruzione dell’infrastruttura per superare il Windows Hardware Lab Kit. Dopo aver acquistato un costoso certificato di firma del codice EV, si era finalmente connesso al Partner Portal per sottomettere il pacchetto, trovando invece un messaggio di account disattivato. Zero notifiche, zero email e zero tracce in qualsiasi cartella spam.

Il labirinto burocratico dell’appello

La parte più frustrante della vicenda non è stata tanto la sospensione in sé, quanto il processo per cercare di risolverla. Il sistema di appello indirizzava Donenfeld a uno strumento di supporto basato su AI che, per ironia della sorte, richiedeva di selezionare l’account di lavoro associato (lo stesso account disattivato). Un circolo vizioso perfetto, per il quale serviva l’account per fare appello, ma serviva l’appello per recuperare l’account.

4e7da55f-3da7-4890-a6b5-939850ce163e

La soluzione che Donenfeld ha trovato è stata presentare un appello attraverso il team Azure per una questione non correlata, chiedendo poi di essere reindirizzato al team competente. Anche dopo aver coinvolto contatti interni a Microsoft e aver contattato direttamente gli autori di post ufficiali sul blog aziendale, la risposta formale è stata che il processo di appello richiede 60 giorni senza eccezioni e senza possibilità di accelerazione, nemmeno dimostrando di essere una persona reale con un progetto reale, utilizzato tra l’altro da Microsoft stessa. A peggiorare le cose, nessuno aveva specificato quale documentazione fosse necessaria per l’appello, lasciando Donenfeld a indovinare.

La questione ha avuto anche una dimensione di sicurezza tutt’altro che trascurabile. Nell’impossibilità di firmare aggiornamenti, qualsiasi vulnerabilità scoperta in WireGuard sarebbe infatti rimasta senza patch per la durata del blocco. Donenfeld lo ha detto esplicitamente su Hacker News, affermando che se qualcuno stava cercando il momento giusto per sfruttare un eventuale zero-day in WireGuard, quello era il momento.

La risposta di Microsoft

La vicenda è diventata talmente “rumorosa” da arrivare sui tavoli dei piani alti di Microsoft. Pavan Davuluri, presidente di Windows and Devices, è intervenuto pubblicamente dichiarando che entrambi gli account sarebbero stati ripristinati rapidamente e confermando che le sospensioni erano state eseguite nell’ambito delle procedure di verifica del Windows Hardware Program.

Microsoft aveva pubblicato un avviso in ottobre, concedendo due settimane di tempo agli sviluppatori con account non verificati dal 2024 per mettersi in regola e aveva inviato email, banner e promemoria. “Sappiamo però che a volte qualcosa può sfuggire all’attenzione” ha ammesso Davuluri, annunciando una revisione delle modalità di comunicazione per casi simili in futuro.

Donenfeld ha confermato che il suo account è stato ripristinato giovedì mattina e che è riuscito a pubblicare l’aggiornamento del driver kernel. Una conclusione positiva, ma quanti altri sviluppatori meno noti si trovano nella stessa situazione, senza la visibilità pubblica necessaria per scalare la burocrazia in tempi ragionevoli?

(Immagine in apertura: Shutterstock)